||||
Symantec.com > Security Response > W32.Sasser.Worm
STAMPA QUESTA PAGINA

W32.Sasser.Worm

Livello di rischio 2: Basso

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 30 de Aprile de 2004
Aggiornato: 13 de Febbraio de 2007 12:24:11 PM
Conosciuto anche come: W32/Sasser.worm.a [McAfee], WORM_SASSER.A [Trend], Worm.Win32.Sasser.a [Kaspersky, W32/Sasser-A [Sophos], Win32.Sasser.A [Computer Assoc, Sasser [F-Secure], W32/Sasser.A.worm [Panda]
Tipo: Worm
Lunghezza dell’infezione: 15,872 bytes
Sistemi operativi minacciati: Windows 2000, Windows XP
Riferimenti CVE: CAN-2003-0533


Quando è in esecuzione, W32. Sasser.Worm effettua le seguenti operazioni:
    1. Tenta di creare un mutex denominato Jobaka3l ed esce se il tentativo non riesce. Il vincolo consente di eseguire nel sistema una sola copia del worm alla volta.
    2. Copia sé stesso come %Windir%\avserve.exe.

      Nota: %Windir% è una variabile. Il worm individua la cartella di installazione di Windows (che per impostazione predefinita si trova sul percorso C:\Windows o C:\Winnt) e si replica in tale posizione.

    3. Facendo questo, aggiunge il valore:

      "avserve.exe"="%Windir%\avserve.exe"

      alla chiave del Registro di sistema:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      in modo che il worm venga eseguito all'avvio di Windows.

    4. Utilizza l'API AbortSystemShutdown per interferire con i tentativi di arresto del sistema o di riavvio del computer.

    5. Avvia un server FTP sulla porta TCP 5554. Il server viene utilizzato per diffondere il worm ad altri host.
    6. Scorre tutti gli indirizzi IP dell'host cercando indirizzi che non contengono nessuno degli elementi seguenti:
      • 127.0.0.1
      • 10.x.x.x
      • 172.16.x.x - 172.31.x.x (inclusive)
      • 192.168.x.x
      • 169.254.x.x
    7. Usando uno di questi indirizzi IP, il worm genera un indirizzo IP casuale.
    • Il 52% delle volte l'indirizzo IP è completamente casuale.
    • Il 23% delle volte, gli ultimi tre ottetti vengono cambiati in numeri casuali.
    • Il 25% delle volte, gli ultimi due ottetti vengono cambiati in numeri casuali.

    Note:
    • Un ottetto è una parte dell'indirizzo IP composta da 8 bit. Ad esempio, se A.B.C.D è un indirizzo IP, A rappresenta il primo ottetto, B il secondo, C il terzo e D il quarto.
    • Dal momento che il worm può creare indirizzi completamente casuali, ogni intervallo IP può essere infettato.
    • Questo processo è composto da 128 thread e richiede una grande quantità di tempo di CPU, di conseguenza un computer infetto può risultare così lento da essere quasi inutilizzabile.

    8. Tenta di connettersi ad indirizzi IP generati in modo casuale sulla porta TCP 445 per determinare se un computer remoto è in linea.

    9. Se viene stabilita una connessione a un computer remoto, il worm invia a quel computer uno shellcode che può provocare l'esecuzione di una shell remota sulla porta TCP 9996.

    10. Il worm utilizza quindi la shell per costringere il computer a riconnettersi al server FTP sulla porta 5554 e prelevare una copia del worm. Il nome della copia sarà costituito da 4 o 5 cifre seguite da _up.exe (ad es. 74354_up.exe).

    11. Il processo Lsass.exe si arresta dopo lo sfruttamento da parte del worm della vulnerabilità Windows LSASS. Windows mostra un avviso e dopo un minuto il sistema si arresta.

    12. Crea un file presso C:\win2.log che contiene l'indirizzo IP dell'ultimo computer che il worm ha tentato di infettare oltre al numero dei computer infettati.

Symantec Gateway Security 5400 Series e Symantec Gateway Security v1.0
  • Componente antivirus: È attualmente disponibile un aggiornamento per il motore antivirus di Symantec Gateway Security per attivare la protezione contro W32.Sasser.Worm. Si consiglia agli utenti di Symantec Gateway Security 5000 Series di eseguire LiveUpdate.
  • Componente IDS/IPS: La firma per Symantec Gateway Security 5400 Series, che rileva gli attacchi contro la vulnerabilità Microsoft LSASS è stata inclusa in SU 8, rilasciato il 14 aprile. È stata rilasciata anche la firma per rilevare gli attacchi contro la vulnerabilità Microsoft LSASS su SGS v1.0. Si consiglia agli utenti di Symantec Gateway Security 5000 Series di eseguire LiveUpdate.
  • Componente firewall per il controllo completo dell'applicazione: Per caratteristica predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Sasser.Worm, impedendo agli aggressori di accedere alla porta TCP/445 e alle porte backdoor dei sistemi infetti (TCP/5554, TCP/9996). Si raccomanda agli amministratori di verificare che le politiche per la sicurezza non consentano il traffico in entrata su quelle porte.

Symantec Enterprise Firewall 8.0
Per caratteristica predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Sasser.Worm, impedendo agli aggressori di accedere alla porta TCP/445 e alle porte backdoor dei sistemi infetti (TCP/5554, TCP/9996). Si raccomanda agli amministratori di verificare che le politiche per la sicurezza non consentano il traffico in entrata su quelle porte.

Symantec Enterprise Firewall 7.0.x e Symantec VelociRaptor 1.5
Per caratteristica predefinita, la tecnologia firewall di controllo completo dell'applicazione di Symantec protegge contro la diffusione del worm W32.Sasser.Worm, impedendo agli aggressori di accedere alla porta TCP/445 e alle porte backdoor dei sistemi infetti (TCP/5554, TCP/9996). Si raccomanda agli amministratori di verificare che le politiche per la sicurezza non consentano il traffico in entrata su quelle porte.

Symantec Clientless VPN Gateway 4400 Series
Symantec Clientless VPN Gateway v5.0 non viene colpito da questa minaccia. Per impostazione predefinita, il gateway per la sicurezza blocca l'accesso alle porte TCP 445, 5554 e 9996.

Symantec Gateway Security 300 Series
Per impostazione predefinita la tecnologia firewall "stateful inspection" di Symantec impedisce agli aggressori di accedere alla porta TCP/445 sui sistemi interni e alle porte backdoor dei sistemi infetti (TCP 5554, 9996). Si raccomanda agli amministratori di verificare che le politiche per la sicurezza in applicazione non consentano l'ingresso su TCP/445, TCP/5554, TCP/9996 e di utilizzare la funzionalità AVpe di SGS 300 per accertarsi che tutti i client antivirus siano aggiornati con le definizioni dei virus correnti.

Symantec Firewall/VPN 100/200 Series
Per impostazione predefinita la tecnologia firewall "stateful inspection" di Symantec impedisce agli aggressori di accedere alla porta TCP/445 sui sistemi interni e alle porte backdoor dei sistemi infetti (TCP/5554, TCP/9996).

Symantec Client Security
Symantec ha rilasciato un aggiornamento per Symantec Client Security 1.x e 2.0 che identifica lo sfruttamento della vulnerabilità LSASS mediante la firma MS_Windows_LSASS_RPC_DS_Request presente nel tentativo di infezione. Se l'applicazione del worm Sasser è già presente nel sistema, in tutte le versioni di Symantec Client Security dotate della politica firewall predefinita verrà richiesto all'utente di Consentire/Bloccare/Configurare una regola per il worm quando questo tenta di avviare il server FTP ed inviare dati in uscita. Le definizioni dei virus che offrono protezione contro il worm sono disponibili tramite LiveUpdate o Intelligent Updater a partire dal 1-05-2004.

Consigli

Symantec Security Response incoraggia tutti gli utenti e gli amministratori ad adottare le seguenti "best practices" di sicurezza di base:

<>
  • Disattivare e rimuovere i servizi inutili. Molti sistemi operativi installano, per impostazione predefinita, servizi ausiliari non essenziali per il funzionamento del sistema, quali server FTP, telnet e server Web. Tali servizi fungono da punti di accesso per eventuali attacchi, la loro rimozione causa pertanto una diminuzione delle possibilità di attacco da parte delle minacce di tipo misto e comporta anche un minore lavoro di mantenimento dei servizi tramite aggiornamenti.
  • Se una minaccia di tipo misto sfrutta uno o più servizi di rete, disattivare o bloccare il relativo accesso finché non viene applicata una patch.
  • Mantenere sempre aggiornati i livelli delle patch, in particolare nei computer che ospitano servizi pubblici e sono accessibili tramite firewall, quali servizi HTTP, FTP, di posta e DNS (Domain Name System. A titolo di esempio, su tutti i computer basati su Windows dovrebbe essere installato il Service Pack corrente).. Inoltre applicare tutti gli aggiornamenti della sicurezza menzionati in questo documento, nei bollettini di sicurezza affidabili o sui siti Web dei fornitori.
  • Adottare una politica basata sulle password. Password complesse ostacolano la violazione dei file, protetti dalle stesse, presenti sui computer infetti. Ciò aiuta a prevenire o, comunque, a limitare i danni quando un computer viene infettato.
  • Configurare il server di posta elettronica in modo che vengano bloccati o rimossi i messaggi di posta elettronica contenenti in allegato i file utilizzati comunemente per diffondere i virus, ad esempio i file .vbs, .bat, .exe, .pif, e .scr.
  • Isolare rapidamente i computer infetti per impedire ulteriori compromissioni ai danni dell'azienda. Effettuare un'analisi approfondita e ripristinare i computer utilizzando supporti affidabili.
  • Educare il personale della propria azienda a non aprire allegati non attesi. Inoltre, non eseguire software scaricati da Internet senza aver prima effettuato la scansione dei virus. Se non sono stati applicati al browser gli aggiornamenti più recenti, è possibile contrarre un'infezione semplicemente visitando un sito Web.

Documento di: Takayoshi Nakayama
Risparmia il 20% con un abbonomento di 2 anni!
©1995 - 2009 Symantec Corporation
Indice del sito|
Note legali|
Trattamento dei dati riservati|
Contattaci|
Siti globali|
Contratti di licenza