Nie dajmy się Sasserowi
Jako pierwszy portal w Polsce ostrzegaliśmy, że zaatakuje wirus Sasser. Robaka jako pierwsza wykryła firma Panda Software (producent oprogramowania antywirusowego), która natychmiast nas o tym powiadomiła. Nie wszyscy jednak zdążyli się zabezpieczyć. W Polsce efekty epidemii uwidoczniły się w pełni we wtorek 4 maja, kiedy to zaczęły pracować komputery w firmach, a użytkownicy domowi po powrocie z wypadów weekendowych włączyli swoje komputery.
Polska nie jest jednak jedynym celem ataku najnowszego robala. Sasser rozprzestrzenia na całym świecie! We wtorek zanotowano wiele ataków, a firmy zajmujące się bezpieczeństwem spodziewają się szczytu epidemii dzisiaj bądź jutro. Jak sobie z tym radzić?
Wczoraj podawaliśmy szacunki, że liczba zarażonych maszyn osiągnęła milion. Według nowych szacunków Sasser zaraził już prawie 10 000 000 komputerów. Liczba ta jednak wciąż się zmienia, bowiem jedne systemy są leczone, a inne w tym samym momencie zarażane.
Nieoficjalnie dowiedzieliśmy się, że w sieci studenckiej AGH zanotowano wczoraj ponad 500 infekcji. Wiele z nich już wyleczono, dzięki szybkiej akcji administratorów, ale nie obeszło się bez znacznej nerwowości, a nawet utraty danych.
Również na świecie Sasser zbiera obfite żniwo. Firma Mc Afee (producent oprogramowania zapewniającego bezpieczeństwo) poinformowała, że nawet największe firmy w USA (z listy Fortune 500) nie były przygotowane na atak Sassera. W jednej z nich wirus zainfekował ponad 1500 komputerów. Niekiedy atak robaka przyniósł wymierne szkody. Dla przykładu Delta Airlines miała poważne problemy w niedzielę, kiedy zaatakowała pierwsza wersja Sassera. Firma musiała odwołać część lotów, a przerwa w obsłudze klientów trwała ponad 6 godzin.
Firma Symantec poinformowała, że należy się cieszyć, iż kod wirusa jest tak niechlujnie napisany, bo mogłoby być znacznie gorzej. Na szczęście obecne wersje Sassera nie powodują większych zniszczeń, choć w najbliższej przyszłości można się spodziewać bardziej destrukcyjnych mutacji. Wirus rozprzestrzenia się jednak szybko, bowiem nie wymaga otwierania e-maili czy załączników do nich.
Wirus, napisany w języku C++, wykorzystuje lukę w zabezpieczeniach usługi LSASS systemów Windows. Luka ta została opisana w biuletynie MS04-011 firmy Microsoft. Szkodnik ma rozmiar około 15 KB (kompresja ZiPack). Tworzy w katalogu systemowym plik avserve.exe (czasem nazwa zakończona jest cyfrą, np avserve2.exe). Następnie tworzy w rejestrze systemowym klucz uruchamiający:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe
Z kolei wyświetla komunikat jak na obrazku, a następnie restartuje system Windows XP/2000. Po uaktywnieniu skanuje adresy IP w poszukiwaniu komputerów podłączonych do sieci, w których nie załatano luki w usłudze LSASS umożliwiającej atak wirusa. Do "dziurawego" komputera poprzez port TCP 9996 wysyłane są rozkazy umożliwiające pobranie z internetu kopii robaka. I cała procedura powtarza się. Dzieje się to znacznie szybciej niż czas, w jakim przeczytaliście ten opis.
Aby usunąć wirusa należy wykonać czynności opisane przez nas wcześniej (zobacz Nie dajmy się Sasserowi).
