||||
Symantec.com > Security Response > W32.Sasser.B.Worm
STAMPA QUESTA PAGINA

W32.Sasser.B.Worm

Livello di rischio 2: Basso

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 1 de Maggio de 2004
Aggiornato: 13 de Febbraio de 2007 12:24:13 PM
Conosciuto anche come: WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Tipo: Worm
Lunghezza dell’infezione: 15872 bytes
Sistemi operativi minacciati: Windows 2000, Windows XP
Riferimenti CVE: CAN-2003-0533


Il worm W32.Sasser.B.Worm è una variante di W32.Sasser.Worm. Il worm sfrutta la vulnerabilità LSASS descritta nel Microsoft Security Bulletin MS04-011 che si diffonde cercando i sistemi vulnerabili tra una serie di indirizzi IP sottoposti a scansione casuale.

W32.Sasser.B.Worm si differenzia da W32.Sasser.Worm nei modi seguenti:
  • Utilizza un mutex diverso: Jobaka3.
  • Utilizza un nome file diverso: avserve2.exe.
  • Dispone di un diverso MD5.
  • Crea un valore di registro diverso: "avserve2.exe."

Note:
  • Il worm ha un valore hash MD5 di 0x1A2C0E6130850F8FD9B9B5309413CD00.
  • Bloccare le porte TCP 5554, 9996 e 445 sul firewall perimetrale e installare la patch di Microsoft appropriata (MS04-011) per prevenire lo sfruttamento remoto di questa vulnerabilità.

W32.Sasser.B.Worm può entrare in esecuzione sui computer con sistema operativo Windows 95/98 senza però infettarli. Sebbene tali sistemi non possano essere colpiti, possono tuttavia essere utilizzati per veicolare l'infezione su sistemi vulnerabili a cui sono in grado di collegarsi. In questo caso il worm consumerà una notevole quantità di risorse impedendo la corretta esecuzione dei programmi, incluso lo strumento di rimozione del worm. (Sui computer Windows 95/98/Me eseguire lo strumento di rimozione in modalità provvisoria).


Security Response ha reso disponibili delle informazioni per gli amministratori di rete utili per rilevare i computer infetti da W32.Sasser.Worm sulla rete. A questo riguardo consultare il documento (in inglese) "Detecting traffic due to LSASS worms".

Protezione

  • Versione iniziale delle definizioni Rapid 1 de Maggio de 2004
  • Ultima versione delle definizioni Rapid Release 20 de Agosto de 2008 revisione 017
  • Versione iniziale delle definizioni Daily certified 1 de Maggio de 2004
  • Ultima versione delle definizioni Daily certified 20 de Gennaio de 2009 revisione 048
  • Data di iniziale delle definizioni Weekly Certified 1 de Maggio de 2004

Fare clic per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

  • Livello di circolazione: Medio
  • Numero di infezioni: More than 1000
  • Numero di siti: More than 10
  • Distribuzione geografica: Alto
  • Contenimento della minaccia: Semplice
  • Rimozione: Moderato

Danno

  • Livello del danno: Basso
  • Riduce le prestazioni: Causa una riduzione significativa delle prestazioni

Distribuzione

  • Livello di distribuzione: Alto
  • Porte: TCP 445, 5554, 9996
  • Obiettivo dell'infezione: I sistemi non forniti di patch sono vulnerabili all'exploit LSASS - MS04-011

Documento di: Heather Shannon
Norton 360: Versione 2.0.
©1995 - 2009 Symantec Corporation
Indice del sito|
Note legali|
Trattamento dei dati riservati|
Contattaci|
Siti globali|
Contratti di licenza