Virus W32.Sasser.B

Sasser.B è una variante del virus Sasser ad alta propagazione. Il worm sfrutta per la propagazione un exploit dei sistemi operativi Windows NT, 2000, XP e Server 2003, descritto nel Security Bullettin MS04-011, pagina del sito Microsoft Technet che rende disponibili le patch di sicurezza per i sistemi operativi affetti dall’exploit. Oltre all’aggiornamento di Windows, un buon rimedio è costituito dal blocco via firewall delle porte TCP 5554, 9996 e 445. Il baco non è presente nei sistemi operativi Windows 9x e ME, tuttavia il worm Sasser è capace di veicolarsi anche attraverso tali sistemi operativi verso gli OS vulnerabili che entrino in comunicazione con gli stessi. Il worm si annida nella directory Windows col nome “Avserve2.exe” e si esegue in un’unica istanza all’avvio di Windows, annidandosi nella chiave di RUN in startup del registro. Una volta eseguito il worm Sasser.B: tenta di sfruttare la API di Windows di Restart o Shutdown del Sistema; fa partire un server FTP sulla porta TCP 5554 per autopropagarsi verso altri host; genera un IP (attraverso un algoritmo che parte dall’IP del pc infetto, con esclusione degli IP privati) col quale tenta subito di collegarsi per verificare se il pc remoto corrispondente a quell’IP è on line; se il pc destinatario è raggiungibile ed è vulnerabile all’exploit, il server FTP spedisce verso il nuovo host (sulla porta TCP 9996) il file malevolo con nome terminante per “_up.exe”. Una volta infettato, nel nuovo host va in crash il processo Lsass.exe, causando lo shutdown in un minuto. Sulla root C: viene creato il file win2.log che contiene gli IP dei pc contagiati. Proprio in virtù del meccanismo di sfruttamento dell’exploit, il worm si propaga in maniera velocissima ed è in grado di bloccare interi network. Scheda tecnica su SymantecPreleva la Cura by Symantec