De fleste sikkerhetsselskapet har nylig sendt ut advarsler mot internettormen Sasser.A frem til dagens nyeste variant Sasser.D. Ormen sprer seg ved at den leter etter IP-adresser i Windows-PCer som den kan utnytte gjennom et sikkerhetshull som nylig ble rapportert av Microsoft.

Hittil har rapporter om ormens spredning kommet fra flere land i Europa og Asia, samt fra USA. WORM_SASSER.A angriper alle PCer med Windows-versjoner med Windows 95 og eldre.

Å være tilknyttet internett er nok
Så fort ormen finner en PC som ikke har blitt oppdatert til å stenge det aktuelle sikkerhetshullet, sender den en spesiell datapakke som skaper en såkalt “buffer overflow” i Windows “Local Security Authority Subsystem Service” (LSASS.EXE). Det er viktig å få med seg at WORM_SASSER.A sprer seg av seg selv uten at brukeren gjør noe som helst. Det er tilstrekkelig at PCen er tilkoblet internett.

Koden som sendes i datapakken benytter PCens port 9996 (port 445 gjelder for SASSER.D) og åpner port 5554 for å kunne ta i mot FTP-anrop fra andre infiserte PCer. Det betyr at WORM_SASSER.A-ormen overføres til PCen som igjen begynner å lete etter andre oppkoblede PCer som kan angripes.

Ormen setter inn følgende verdi i registreringsdatabasen som får den til å starte opp automatisk sammen med Windows:

Nøkkel: HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
Verdi: avserve.exe = % Windows Mappen %/avserve.exe

Omen ødelegger ikke data i infiserte maskiner, men de blir så godt som ubrukbare på grunn av belastningen på selve maskinen og internettoppkoblingen.

Påviste sikkerhetshull raskere angrepet
Problemet med LSASS-sikkerhetshullet ble rapportert den 13. april da det ble utnyttet av en variant av AGOBOT-ormen, WORM_AGOBOT.JF, som ble oppdaget 16 dager senere. “Blaster-ormen” som herjet i august i fjor ble oppdaget 26 dager etter at et sikkerhetshull ble rapportert. Det viser at tiden mellom oppdagelsen av et sikkerhetshull og hvordan dette blir utnyttet minsker.

Mer informasjon
Ormen sprer seg via MS04-011- sårbarheten og er skrevet i Microsoft Visual C++. Sikkerhetsoppdateringen det gjelder er 835732 og rammer alle versjoner av Windows fra 98 til 2003.

Microsoft har opprettet en dedikert side for Sasser-ormen og dens varianter hvor du også kan sjekke om din PC er infisert for deretter å fjerne den.

Kjører du en brannmur og har installert alle de nyeste sikkerhetsoppdateringene via Windows Update, er du sikret mot alle varianter av W32.Sasser.worm.

[!] Rapporter feil i artikkel

Sender din rapport, vennligst vent...

Ved å rapportere en artikkel gjør du forfatteren oppmerksom på en eventuell feil i artikkelen. Dette vil hjelpe oss til å rette opp feilen så fort som mulig.

Rapport:

Feil i linkerSkrivefeilManglende informasjonAnnet

Skriv din rapport:
(frivillig)