Červ Sasser zatiaľ neznamená rozsiahlejšiu lavínovú nákazu, no jeho nebezpečnosť je oznámkovaná stupňom stredný.
Microsoft upozornil vo svojom bezpečnostnom hlásení na šírenie nového červa, ktorý na svoje šírenie využíva nedávno objavenú (a zaplátanú) bezpečnostnú trhlinu vo Windows v rámci služby LSASS - MS04-011. Softvérový gigant vtedy vyzýval užívateľov k urýchlenej aplikácii kritickej bezpečnostnej záplaty.
W32/Sasser je internetový červ s veľkosťou 15 872 bajtov. Na rozdiel od mnohých podobných červov sa nešíri formou elektronickej pošty. Namiesto toho však vírus svoje šírenie organizuje sám inštruuje potenciálne napadnuteľné systémy s nezaplátanou bezpečnostnou trhlinu k stiahnutiu a následnému spusteniu svojho kódu.
Na svoje šírenie Sasser využíva TCP port 445, prostredníctvom ktorého vyhľadáva potenciálne obete útokov. Poznamenáva vo svojej správe antivírusová spoločnosť Symantec.
Pokiaľ pri svojom skenovaní objaví nezaplátaný systém bežiaci pod Windows XP alebo 2000 (64 bitová verzia Windows XP nie je na základe vyhlásení Microsoftu ohrozená), pridá do súborového systému nového nevítaného hosťa na disku, súbor avserve2.exe. Súbor si svoje miesto nájde v systémovom adresári Windows, teda typická cesta môže vyzerať napríklad C:Ďalej pridá do registrov novú vetvu pre spustenie červa pri každom štarte systému:
HKEY_LOCAL_MACHINE"avserve.exe" = C:
Ďalej červ po infikovaní počítača zabezpečuje skenovanie iných systémov pomocou FTP servera na TCP porte 5554. Hlavná nebezpečnosť nákazy spočíva v citeľnom znížení výkonu systému.
Postranným efektom vyčíňania červa v systéme je možnosť pádu služby LSASS.EXE, pričom štandardne dôjde pri spadnutí LSA Shellu k reštartovaniu systému:
Symantec Corp. aj Network Associates udelili červu rizikový stupeň "stredný", zatiaľ čo u Computer Associates si Sasser vyslúžil v čase písania článku len nízke riziko. Trend Micro označuje vírus žltým výstražným značením.
Technologický konzultant Graham Cluley z firmy Sophos pre ComputerWorld poznamenal, že červ sa vyznačuje rovnakými technikami propagácie ako minuloročný Blaster, no ani zďaleka sa nešíri tak rýchlo.
Bližšie a podrobnejšie informácie o definíciách červa priniesli napríklad aj Norman, Panda Software, Sophos alebo F-Secure.
Autor: erik
Najdôležitejšie správy z východu Slovenska čítajte na Korzar.sme.sk.
