Compras

Symantec.com > Empresas > Security Response > W32.Sasser.B.Worm
IMPRIMIR ESTA PÁGINA

W32.Sasser.B.Worm

Nível do risco2: Baixo

Descoberto:
1 de Maio de 2004
Atualizado:
13 de Fevereiro de 2007 12:23:18 PM
Também conhecido como:
WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Tipo:
Worm
Extensão da infecção:
15872 bytes
Sistemas afetados:
Windows 2000, Windows XP
Referências CVE:
CAN-2003-0533

A versão mais recente deste documento pode ser encontrada em:
http://www.symantec.com/region/br/techsupp/avcenter/venc/data/br-w32.sasser.worm.html


O W32.Sasser.B.Worm é uma variante do W32.Sasser.Worm. Ela tenta explorar a vulnerabilidade LSASS descrita no Microsoft Security Bulletin MS04-011, e se propaga verificando endereços IP selecionados aleatoriamente de sistemas vulneráveis.


O W32.Sasser.B.Worm difere do W32.Sasser.Worm no seguinte:
  • Utiliza um mutex diferente: Jobaka3.
  • Utiliza um nome de arquivo diferente: avserve2.exe.
  • Possui um MD5 diferente.
  • Cria um valor diferente no registro: "avserve2.exe."


Notas:
  • O valor de hash MD5 para este worm é 0x1A2C0E6130850F8FD9B9B5309413CD00.
  • O Symantec Security Response desenvolveu uma ferramenta para remover infecções do W32.Sasser.
  • Bloqueie as portas TCP 5554, 9996 e 445 no firewall de perímetro e instale a correção apropriada da Microsoft (MS04-011) para evitar a exploração remota da vulnerabilidade.


O W32.Sasser.B.Worm pode ser executado, mas não pode infectar, computadores baseados no Windows 95/98/Me. Embora estes sistemas operacionais não sejam infectados, eles podem ser usados para infectar sistemas vulneráveis aos quais eles possuem conexão. Neste caso, o worm irá consumir muitos recursos de forma que programas não poderão ser executados corretamente, incluindo a ferramenta de remoção do vírus.

Datas da proteção antivírus

  • Versão inicial do Rapid Release1 de Maio de 2004
  • Última versão do Rapid Release28 de Setembro de 2010 revisão054
  • Versão inicial diária certificada1 de Maio de 2004
  • Última versão diária certificada28 de Setembro de 2010 revisão036
  • Data da versão inicial semanal certificada1 de Maio de 2004
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.

Avaliação da ameaça

Disseminação

  • Nível de disseminação:Medium
  • Número de infecções:More than 1000
  • Número de sites:More than 10
  • Distribuição geográfica:High
  • Contenção da ameaça:Easy
  • Remoção:Moderate

Dano

  • Nível do dano:Low
  • Reduz o desempenho:Causes significant degradation in performance

Distribuição

  • Nível de distribuição:High
  • Portas:TCP 445, 5554, 9996
  • Alvo da infecção:Unpatched systems vulnerable to LSASS exploit - MS04-011
Escrito por:Heather Shannon
Detalhes técnicos
©1995 - 2012 Symantec Corporation
Mapa do site|
Avisos legais|
Política de privacidade|
Contato|
Sites globais