RSS-каналы
Уровень опасности: 1
Net-Worm.Win32.Sasser.c
| Время детектирования | 03 май 2004 20:08 MSK |
| Время выпуска обновления | 03 май 2004 20:08 MSK |
| Описание опубликовано | 11 май 2004 13:29 MSK |
Технические детали
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.
Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года.
Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM.
Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 16 КБ, упакован PECompact2.
Признаками заражения компьютера являются:
- Наличие файла "skynetave.exe" в каталоге Windows.
- Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы.
Отличия от версии Sasser.b
Данный вариант червя отличается от варианта Sasser.b измененным именем своего файла. Вместо "avserve2.exe" используется "skynetave.exe" (соответственно изменен и ключ в системном реестре).
Также изменено название создаваемого идентификатора - "SkynetSasserVersionWithPingFast".
При атаке на удаленной машине запускается remote shell на порту TCP 9995.
Перед отправкой эксплоита на атакуемую машину, червь отправляет предварительный ICMP запрос.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.
Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).
Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.
Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.
Net-Worm.
- Worm.
Win32. Sasser. c («Лаборатория Касперского») - Virus:
W32/Sasser. worm. d (McAfee) - W32/Sasser-D (Sophos)
- Worm.
Sasser. D (ClamAV) - W32/Sasser.
D. worm (Panda) - W32/Sasser.
D (FPROT) - Worm:
Win32/Sasser. dam (MS(OneCare)) - Win32.
HLLW. Jobaka. 4 (DrWeb) - Win32/Sasser.
D worm (Nod32) - Worm.
Generic. 51978 (BitDef7) - Worm.
Sasser. d (VirusBuster) - Win32:
Sasser-O [Wrm] (AVAST) - Net-Worm.
Win32. Sasser (Ikarus) - Worm/Generic.
BG (AVG) - WORM/Sasser.
D (AVIRA) - W32.
Sasser. D (NAV) - Sasser.
D (Norman) - W32/Sasser.
worm. d (NAI) - WORM_SASSER.
V (PCCIL) - Worm.
Sasser. d (Rising) - Net-Worm.
Win32. Sasser. c [AVP] (FSecure) - Worm.
Sasser. d (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей