Risorse

Symantec.com > Aziende > Security Response > W32.Sasser.B.Worm
STAMPA QUESTA PAGINA

W32.Sasser.B.Worm

Livello di rischio2: Basso

Rilevato:
1 de Maggio de 2004
Aggiornato:
13 de Febbraio de 2007 12:24:13 PM
Va anche sotto il nome di:
WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Tipo:
Worm
Lunghezza dell’infezione:
15872 bytes
Sistemi operativi minacciati:
Windows 2000, Windows XP
Riferimenti CVE:
CAN-2003-0533

Il worm W32.Sasser.B.Worm è una variante di W32.Sasser.Worm. Il worm sfrutta la vulnerabilità LSASS descritta nel Microsoft Security Bulletin MS04-011 che si diffonde cercando i sistemi vulnerabili tra una serie di indirizzi IP sottoposti a scansione casuale.

W32.Sasser.B.Worm si differenzia da W32.Sasser.Worm nei modi seguenti:
  • Utilizza un mutex diverso: Jobaka3.
  • Utilizza un nome file diverso: avserve2.exe.
  • Dispone di un diverso MD5.
  • Crea un valore di registro diverso: "avserve2.exe."

Note:
  • Il worm ha un valore hash MD5 di 0x1A2C0E6130850F8FD9B9B5309413CD00.
  • Bloccare le porte TCP 5554, 9996 e 445 sul firewall perimetrale e installare la patch di Microsoft appropriata (MS04-011) per prevenire lo sfruttamento remoto di questa vulnerabilità.

W32.Sasser.B.Worm può entrare in esecuzione sui computer con sistema operativo Windows 95/98 senza però infettarli. Sebbene tali sistemi non possano essere colpiti, possono tuttavia essere utilizzati per veicolare l'infezione su sistemi vulnerabili a cui sono in grado di collegarsi. In questo caso il worm consumerà una notevole quantità di risorse impedendo la corretta esecuzione dei programmi, incluso lo strumento di rimozione del worm. (Sui computer Windows 95/98/Me eseguire lo strumento di rimozione in modalità provvisoria).


Security Response ha reso disponibili delle informazioni per gli amministratori di rete utili per rilevare i computer infetti da W32.Sasser.Worm sulla rete. A questo riguardo consultare il documento (in inglese) "Detecting traffic due to LSASS worms".

Date protezione antivirus

  • Versione iniziale Rapid Release1 de Maggio de 2004
  • Ultima versione Rapid Release28 de Settembre de 2010 revisione 054
  • Versione iniziale Daily Certified1 de Maggio de 2004
  • Ultima versione Daily Certified28 de Settembre de 2010 revisione 036
  • Data rilascio Weekly Certified iniziale1 de Maggio de 2004
Fare clic qui per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

  • Livello di circolazione:Medium
  • Numero di infezioni:More than 1000
  • Numero di siti:More than 10
  • Distribuzione geografica:High
  • Contenimento della minaccia:Easy
  • Rimozione:Moderate

Danno

  • Livello del danno:Low
  • Riduzione delle prestazioni:Causa una riduzione significativa delle prestazioni

Distribuzione

  • Livello di distribuzione:High
  • Porte:TCP 445, 5554, 9996
  • Obiettivo dell’infezione:I sistemi non forniti di patch sono vulnerabili all'exploit LSASS - MS04-011
Documento di:Heather Shannon
DETTAGLI TECNICI
©1995 - 2012 Symantec Corporation
Indice del sito|
Note legali|
Trattamento dei dati riservati|
Contattaci|
Siti globali|
Contratti di licenza