Sasser (robak komputerowy) - Sasser (computer worm)
Nazwa techniczna |
|
---|---|
Rodzaj | Robak |
Autorski) | Sven Jaschan |
Dotyczy systemów operacyjnych | Windows 2000 , Windows XP |
Sasser to robak komputerowy, który atakuje komputery z wrażliwymi wersjami systemów operacyjnych Microsoft Windows XP i Windows 2000 . Sasser rozprzestrzenia się, wykorzystując system przez podatny port . W związku z tym jest szczególnie zjadliwy, ponieważ może rozprzestrzeniać się bez interwencji użytkownika, ale można go również łatwo zatrzymać przez odpowiednio skonfigurowaną zaporę ogniową lub pobieranie aktualizacji systemu z witryny Windows Update . Specyficzne luki w wykorzystaniu Sassera zostały udokumentowane przez Microsoft w biuletynie MS04-011 , dla którego poprawka została wydana siedemnaście dni wcześniej. Najbardziej charakterystycznym doświadczeniem robaka jest licznik czasu wyłączenia, który pojawia się z powodu awarii usługi LSASS przez robaka .
Historia i skutki
Sasser został utworzony 30 kwietnia 2004 r. Robak ten został nazwany Sasser, ponieważ rozprzestrzenia się, wykorzystując przepełnienie bufora w komponencie znanym jako LSASS ( Local Security Authority Subsystem Service ) w systemach operacyjnych, których dotyczy luka. Robak skanuje różne zakresy adresów IP i łączy się z komputerami ofiar głównie poprzez TCP portu 445. Analiza Microsoftu robaka wskazuje, że może również rozprzestrzeniać się za pośrednictwem portu 139. kilku wariantach zwanych Sasser.B , Sasser.C i Sasser.D pojawił się w ciągu kilku dni (z oryginałem nazwanym Sasser.A). Luka LSASS została załatana przez Microsoft w kwietniu 2004 r. W miesięcznych pakietach zabezpieczeń, przed wydaniem robaka. Niektórzy specjaliści od technologii spekulowali, że twórca robaka dokonał inżynierii wstecznej poprawki w celu wykrycia luki, która otworzyłaby miliony komputerów, których system operacyjny nie został zaktualizowany wraz z aktualizacją zabezpieczeń.
Sasser spowodował, że agencja informacyjna Agence France-Presse (AFP) zablokowała na wiele godzin całą łączność satelitarną, a amerykańska firma lotnicza Delta Air Lines musiała odwołać kilka lotów transatlantyckich, ponieważ jej systemy komputerowe zostały zalane przez robaka. Nordic firma ubezpieczeniowa Jeśli i ich fińskie właściciele Sampo Banku przyszedł do całkowitego zatrzymania i musiał zamknąć swoje biura w 130 Finlandii . Brytyjska straż przybrzeżna że jego elektroniczny serwis mapowanie zablokowana przez kilka godzin, a Goldman Sachs , Deutsche Post , a Komisja Europejska również wszyscy mieli problemy ze ślimakiem. Oddział rentgenowski w szpitalu uniwersyteckim w Lund miał wyłączone wszystkie czterowarstwowe aparaty rentgenowskie na kilka godzin i musiał kierować pacjentów z nagłymi promieniami rentgenowskimi do pobliskiego szpitala. University of Missouri został zmuszony do „odłączyć” od swojej sieci Internet w szerszej odpowiedzi na robaka.
Autor
W dniu 7 maja 2004 r. Aresztowano 18-letniego Niemca Sven Jaschana z Rotenburga w Dolnej Saksonii , wówczas ucznia szkoły technicznej, za napisanie robaka. Władze niemieckie zostały doprowadzone do Jaschan częściowo z powodu informacji uzyskanych w odpowiedzi na ofertę nagród firmy Microsoft w wysokości 250 000 USD.
Jeden z przyjaciół Jaschana poinformował Microsoft, że to jego przyjaciel stworzył robaka. Następnie ujawnił, że jego dziełem był nie tylko Sasser, ale także Netsky.AC, odmiana robaka Netsky . Inna odmiana Sassera , Sasser.E , krążyła wkrótce po aresztowaniu. Była to jedyna odmiana, która próbowała usunąć inne robaki z zainfekowanego komputera, podobnie jak robi to Netsky.
Jaschan był sądzony jako nieletni, ponieważ sądy niemieckie ustaliły, że stworzył robaka zanim skończył 18 lat. Sam robak został wypuszczony w dniu jego 18. urodzin (29 kwietnia 2004 r.). Sven Jaschan został uznany winnym sabotażu komputerowego i nielegalnej zmiany danych. W piątek 8 lipca 2005 roku otrzymał 21 miesięcy kary w zawieszeniu.
Skutki uboczne
Wskazanie infekcji robaka danego komputera jest istnienie plików C:\win.log
, C:\win2.log
lub C:\WINDOWS\avserve2.exe
na dysku twardym komputera, tym ftp.exe
działa losowo i 100% użycie procesora, jak również pozornie przypadkowych wypadków z LSA Shell (Export Version) spowodowane wadliwym kodem używany w robaku. Najbardziej charakterystycznym objawem robaka jest licznik czasu zamykania, który pojawia się z powodu awarii robaka LSASS.exe.
Obejścia
Sekwencję wyłączania można przerwać, naciskając przycisk Start i wprowadzając polecenie Uruchom shutdown -a
. Spowoduje to przerwanie zamykania systemu, aby użytkownik mógł kontynuować to, co robił. Plik shutdown.exe nie jest domyślnie dostępny w systemie Windows 2000, ale można go zainstalować z zestawu zasobów systemu Windows 2000. Jest dostępny w systemie Windows XP. Drugą opcją powstrzymania robaka przed wyłączaniem komputera jest zmiana godziny i / lub daty na jego zegarze na wcześniejszą; czas wyłączenia przesunie się tak daleko w przyszłość, jak zegar został cofnięty.
Zobacz też
- Blaster (robak komputerowy)
- Nachia (robak komputerowy)
- BlueKeep (luka w zabezpieczeniach)
- Oś czasu znanych wirusów i robaków komputerowych
Linki zewnętrzne
- Biuletyn zabezpieczeń firmy Microsoft: MS04-011
- CAN - 2003-0533
- Identyfikator Bugtraq 10108
- Przeczytaj tutaj, jak możesz chronić swój komputer (strona Microsoft Security) - zawiera łącza do stron informacyjnych głównych firm antywirusowych.
- Nowy robak Windows na wolności (artykuł w Slashdocie)
- Raport o skutkach robaka z BBC
- Niemiec przyznaje, że stworzył Sassera (BBC News)
- Twórca Sasser unika kary więzienia (BBC News)