||||
Symantec.com > Security Response > W32.Sasser.E.Worm
STAMPA QUESTA PAGINA

W32.Sasser.E.Worm

Livello di rischio 2: Basso

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 9 de Maggio de 2004
Aggiornato: 13 de Febbraio de 2007 12:24:36 PM
Tipo: Worm
Lunghezza dell’infezione: 15,872 bytes, 15,873 bytes
Sistemi operativi minacciati: Windows 2000, Windows XP
Riferimenti CVE: CAN-2003-0533



W32.Sasser.E.Worm è un variante minore di W32.Sasser.Worm. Tenta di sfruttare la vulnerabilità LSASS, descritta nel Microsoft Security Bulletin MS04-011, e di diffondersi esaminando indirizzi IP selezionati a caso per individuare dei sistemi vulnerabili.

W32.Sasser.E.Worm differisce da da W32.Sasser.Worm come segue:
    • Utilizza un diverso mutex: SkynetNotice.
    • Utilizza un diverso nome del file: lsasss.exe.
    • Crea un diverso valore nel registro: “lsasss.exe„
    • Utilizza diversi numeri di porta, utilizzati dal server FTP e la shell remota: 1023 e 1022.
    • Dopo 2 ore di esecuzione visualizza un messaggio.
    • Elimina i valori dal registro, comunemente installati da Trojan.Mitglieder, W32.Beagle.W@mm, e W32.Beagle.X@mm.
    • Il nome del file richiamato dal server FTP è seguito da _update.exe.
    • Il worm registra i dati nel file C:\ftplog.txt.
    • Ha una routine aggiornata per l'individuazione dei computer vulnerabili. W32.Sasser.E.Worm invia una richiesta echo ICMP prima di tentare di fare un collegamento. Questo cambiamento può impedire al worm di essere eseguito correttamente sui sistemi di Windows 2000.
W32.Sasser.E.Worm può venire eseguito su, ma non infettare, i computer Windows 95/98/Me. Anche se questi sistemi operativi non possono essere infettati, possono ancora essere utilizzati per infettare i computer vulnerabili.


Protezione

  • Versione iniziale delle definizioni Rapid 9 de Maggio de 2004
  • Ultima versione delle definizioni Rapid Release 19 de Luglio de 2008 revisione 019
  • Versione iniziale delle definizioni Daily certified 9 de Maggio de 2004
  • Ultima versione delle definizioni Daily certified 20 de Gennaio de 2009 revisione 048
  • Data di iniziale delle definizioni Weekly Certified 9 de Maggio de 2004

Fare clic per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

  • Livello di circolazione: Basso
  • Numero di infezioni: 50 - 999
  • Numero di siti: More than 10
  • Distribuzione geografica: Basso
  • Contenimento della minaccia: Semplice
  • Rimozione: Moderato

Danno

  • Livello del danno: Basso
  • Riduce le prestazioni: Causes significant performance degradation.

Distribuzione

  • Livello di distribuzione: Alto
  • Porte: TCP 445, 1022, 1023
  • Obiettivo dell'infezione: Unpatched systems vulnerable to LSASS exploit - MS04-011.

Documento di: Sergei Shevchenko
Risparmia il 20% con un abbonomento di 2 anni!
©1995 - 2009 Symantec Corporation
Indice del sito|
Note legali|
Trattamento dei dati riservati|
Contattaci|
Siti globali|
Contratti di licenza