1. Symantec/
  2. Security Response/
  3. W32.Sasser.B.Worm
  4. W32.Sasser.B.Worm
  • Compartilhar

W32.Sasser.B.Worm

Nível do risco2: Baixo

Descoberto:
1 de Maio de 2004
Atualizado:
13 de Fevereiro de 2007 12:23:18 PM
Também conhecido como:
WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Tipo:
Worm
Extensão da infecção:
15872 bytes
Sistemas afetados:
Windows
Referências CVE:
CAN-2003-0533


A versão mais recente deste documento pode ser encontrada em:
http://www.symantec.com/region/br/techsupp/avcenter/venc/data/br-w32.sasser.worm.html


O W32.Sasser.B.Worm é uma variante do W32.Sasser.Worm. Ela tenta explorar a vulnerabilidade LSASS descrita no Microsoft Security Bulletin MS04-011, e se propaga verificando endereços IP selecionados aleatoriamente de sistemas vulneráveis.


O W32.Sasser.B.Worm difere do W32.Sasser.Worm no seguinte:
  • Utiliza um mutex diferente: Jobaka3.
  • Utiliza um nome de arquivo diferente: avserve2.exe.
  • Possui um MD5 diferente.
  • Cria um valor diferente no registro: "avserve2.exe."



Notas:
  • O valor de hash MD5 para este worm é 0x1A2C0E6130850F8FD9B9B5309413CD00.
  • O Symantec Security Response desenvolveu uma ferramenta para remover infecções do W32.Sasser.
  • Bloqueie as portas TCP 5554, 9996 e 445 no firewall de perímetro e instale a correção apropriada da Microsoft (MS04-011) para evitar a exploração remota da vulnerabilidade.



O W32.Sasser.B.Worm pode ser executado, mas não pode infectar, computadores baseados no Windows 95/98/Me. Embora estes sistemas operacionais não sejam infectados, eles podem ser usados para infectar sistemas vulneráveis aos quais eles possuem conexão. Neste caso, o worm irá consumir muitos recursos de forma que programas não poderão ser executados corretamente, incluindo a ferramenta de remoção do vírus.

Datas da proteção antivírus

  • Versão inicial do Rapid Release1 de Maio de 2004
  • Última versão do Rapid Release8 de Agosto de 2016 revisão023
  • Versão inicial diária certificada1 de Maio de 2004
  • Última versão diária certificada9 de Agosto de 2016 revisão001
  • Data da versão inicial semanal certificada1 de Maio de 2004
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.
Escrito por:Heather Shannon
Internet Security Threat Report