|||
Symantec.com > Security Response > W32.Sasser.B.Worm
IMPRIMIR ESTA PÁGINA

W32.Sasser.B.Worm

Nível do risco 2: Baixo

Fazer o download da ferramenta de remoção | Versão para impressão

Descoberto: 1 de Maio de 2004
Atualizado: 13 de Fevereiro de 2007 12:23:18 PM
Também conhecido como: WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Tipo: worm
Extensão da infecção: 15872 bytes
Sistemas afetados: Windows 2000, Windows XP
Referências CVE: CAN-2003-0533


A versão mais recente deste documento pode ser encontrada em:
http://www.symantec.com/region/br/techsupp/avcenter/venc/data/br-w32.sasser.worm.html


O W32.Sasser.B.Worm é uma variante do W32.Sasser.Worm. Ela tenta explorar a vulnerabilidade LSASS descrita no Microsoft Security Bulletin MS04-011, e se propaga verificando endereços IP selecionados aleatoriamente de sistemas vulneráveis.


O W32.Sasser.B.Worm difere do W32.Sasser.Worm no seguinte:
  • Utiliza um mutex diferente: Jobaka3.
  • Utiliza um nome de arquivo diferente: avserve2.exe.
  • Possui um MD5 diferente.
  • Cria um valor diferente no registro: "avserve2.exe."


Notas:
  • O valor de hash MD5 para este worm é 0x1A2C0E6130850F8FD9B9B5309413CD00.
  • O Symantec Security Response desenvolveu uma ferramenta para remover infecções do W32.Sasser.
  • Bloqueie as portas TCP 5554, 9996 e 445 no firewall de perímetro e instale a correção apropriada da Microsoft (MS04-011) para evitar a exploração remota da vulnerabilidade.


O W32.Sasser.B.Worm pode ser executado, mas não pode infectar, computadores baseados no Windows 95/98/Me. Embora estes sistemas operacionais não sejam infectados, eles podem ser usados para infectar sistemas vulneráveis aos quais eles possuem conexão. Neste caso, o worm irá consumir muitos recursos de forma que programas não poderão ser executados corretamente, incluindo a ferramenta de remoção do vírus.

Proteção

  • Versão de lançamento rápido inicial 1 de Maio de 2004
  • Última versão de lançamento rápido 20 de Agosto de 2008 revisão 017
  • Versão diária certificada inicial 1 de Maio de 2004
  • Última versão diária certificada 20 de Janeiro de 2009 revisão 048
  • Data inicial para o lançamento certificado semanal 1 de Maio de 2004

Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e de lançamento rápido.

Avaliação da ameaça

Potencial

  • Nível de gravidade: Médio
  • Número de infecções: More than 1000
  • Número de sites: More than 10
  • Distribuição geográfica: Alto
  • Contenção da ameaça: Fácil
  • Remoção: Moderado

Dano

  • Nível do dano: Baixo
  • Reduz o desempenho: Causes significant degradation in performance

Distribuição

  • Nível de distribuição: Alto
  • Portas: TCP 445, 5554, 9996
  • Alvo da infecção: Unpatched systems vulnerable to LSASS exploit - MS04-011

Elaborado por: Heather Shannon
Oferta Especial
©1995 - 2009 Symantec Corporation
Mapa do site|
Avisos legais|
Política de privacidade|
Contato|
Sites globais|
Contratos de licença