Сассер (компьютерный червь) - Sasser (computer worm)

Sasser Worm
Техническое название
  • Win32 / Sasser (Microsoft )
  • Червь: Win32 / Sasser. [Письмо] (Microsoft)
  • Сетевой червь: W32 / Sasser (F-Secure )
  • Сетевой червь: W32 / Sasser. [Letter] (F-secure)
  • W32.Sasser.Worm (Symantec )
  • W32.Sasser. [Письмо] (Symantec)
  • W32.Sasser. [Letter] .Worm (Symantec)
  • W32 / Sasser- [Письмо] (Sophos )
  • Worm.Win32.Sasser. [Письмо] (Sophos)
  • W32.Sasser.Worm (Sophos)
  • W32 / Sasser.worm. [Письмо] (Sophos)
  • WORM_SASSER (Trend Micro )
  • WORM_SASSER. [Письмо] (Trend Micro)
  • BAT_SASSER. [Письмо] (Trend Micro)
ТипЧервь
Авторы)Свен Яшан
Операционные системы) затронутыйWindows 2000, Windows XP

Сассер это компьютерный червь это влияет на компьютеры, на которых запущены уязвимые версии Microsoft операционные системы Windows XP и Windows 2000. Sasser распространяется, эксплуатируя систему через уязвимое порт. Таким образом, он особенно опасен тем, что может распространяться без вмешательства пользователя, но его также легко остановить правильно настроенным брандмауэр или загрузив системные обновления с Центр обновления Windows. Конкретные эксплойты дыры Sasser задокументированы Microsoft в ее MS04-011 бюллетень, патч для которого был выпущен семнадцатью днями ранее.

История и эффекты

Sasser был создан 30 апреля 2004 года. Этот червь получил название Sasser, потому что он распространяется, используя переполнение буфера в компоненте, известном как LSASS (Служба подсистемы локального органа безопасности ) в затронутых операционных системах. Червь сканирует разные диапазоны IP-адреса и подключается к компьютерам жертв в основном через TCP порт 445. Анализ червя, проведенный корпорацией Майкрософт, указывает на то, что он также может распространяться через порт 139. Несколько названных вариантов Sasser.B, Sasser.C, и Sasser.D появился в течение нескольких дней (с оригиналом под названием Sasser.A). Уязвимость LSASS была исправлена ​​Microsoft в апреле 2004 г. в ежемесячных пакетах безопасности до выпуска червя. Некоторые технические специалисты предположили, что создатель червя перепроектировал патч, чтобы обнаружить уязвимость, которая откроет миллионы компьютеров, операционная система которых не была обновлена ​​с помощью обновления безопасности.[нужна цитата ]

Эффекты Сассера включают агентство новостей Агентство Франс-Пресс (AFP) вся его спутниковая связь заблокирована на несколько часов, а НАС. летная компания Delta Air Lines пришлось отменить несколько трансатлантических рейсов, потому что его компьютерные системы были затоплены червем. В Скандинавский страховая компания Если и их финские владельцы Сампо Банк были полностью остановлены и были вынуждены закрыть свои 130 офисов в Финляндия. В Британский Береговая охрана служба электронного картографирования была отключена на несколько часов, и Голдман Сакс, Deutsche Post, а Европейская комиссия также у всех были проблемы с червем. В Рентгеновский отдел в Университетская больница Лунда все четыре слоя Рентгеновские аппараты был отключен на несколько часов и был вынужден перенаправлять пациентов с неотложной рентгенологией в ближайшую больницу. В Университет Миссури был вынужден «отключить» свою сеть от Интернета в ответ на червя.

Автор

7 мая 2004 г. 18-летний Немецкий Информатика студент Свен Яшан от Ротенбург, Нижняя Саксония был арестован за написание червя. Немецкие власти привели к Яшану отчасти из-за информации, полученной в ответ на предложение Microsoft о вознаграждении в размере 250 000 долларов США.

Один из друзей Яшана сообщил Microsoft, что его друг создал червя. Далее он сообщил, что не только Sasser, но и Netsky.AC, вариант Нетский червь, было его творением. Еще одна вариация Сассера, Sasser.E, было обнаружено, что они распространяются вскоре после ареста. Это был единственный вариант, который пытался удалить других червей с зараженного компьютера, как это делает Netsky.

Яшана судили как несовершеннолетнего, поскольку суды Германии установили, что он создал червя до того, как ему исполнилось 18 лет. Сам червь был выпущен на свободу в день его 18-летия (29 апреля 2004 г.). Свен Яшан был признан виновным в компьютерном саботаже и незаконном изменении данных. В пятницу, 8 июля 2005 г., он был приговорен к 21 месяцу лишения свободы условно.

Побочные эффекты

Признак заражения червем данного ПК наличие файлов C: win.log, C: win2.log или C: WINDOWS avserve2.exe на жестком диске ПК ftp.exe работает случайным образом и использует 100% ЦП, а также, казалось бы, случайные сбои с LSA Shell (экспортная версия), вызванные ошибочным кодом, используемым в черве. Наиболее характерным признаком червя является таймер отключения, который появляется из-за сбоя LSASS.exe червем.

Обходные пути

Последовательность выключения можно прервать, нажав кнопку «Пуск» и Бегать команда для входа выключение -a. Это прерывает завершение работы системы, чтобы пользователь мог продолжить то, что он делал. Файл shutdown.exe по умолчанию недоступен в Windows 2000, но может быть установлен из пакета ресурсов Windows 2000. Он доступен в Windows XP. Второй способ остановить червь от выключения компьютера - это изменить время и / или дату на его часах на более раннее; время выключения сдвинется так же далеко в будущее, как и часы.

Смотрите также

внешние ссылки

  • Бюллетень по безопасности Microsoft: MS04-011
  • МОЧЬ -2003-0533
  • Bugtraq ID 10108
  • Прочтите здесь, как защитить свой компьютер (страница безопасности Microsoft) - Включает ссылки на информационные страницы основных антивирусных компаний.
  • Новый Windows Worm на свободе (статья Slashdot)
  • Репортаж об эффектах червя от BBC
  • Немец признает создание Sasser (BBC News)
  • Создатель Sasser избежал тюремного заключения (BBC News)