Sasser (robak komputerowy) - Sasser (computer worm)

Sasser Worm
Nazwa techniczna
  • Win32 / Sasser ( Microsoft )
  • Worm: Win32 / Sasser. [Letter] (Microsoft)
  • Robak sieciowy: W32 / Sasser ( F-Secure )
  • Robak sieciowy: W32 / Sasser. [Letter] (F-secure)
  • W32.Sasser.Worm ( Symantec )
  • W32.Sasser. [Letter] (Symantec)
  • W32.Sasser. [Letter] .Worm (Symantec)
  • W32 / Sasser- [Letter] ( Sophos )
  • Worm.Win32.Sasser. [List] (Sophos)
  • W32.Sasser.Worm (Sophos)
  • W32 / Sasser.worm. [List] (Sophos)
  • WORM_SASSER ( Trend Micro )
  • WORM_SASSER. [List] (Trend Micro)
  • BAT_SASSER. [Letter] (Trend Micro)
Rodzaj Robak
Autorski) Sven Jaschan
Dotyczy systemów operacyjnych Windows 2000 , Windows XP

Sasser to robak komputerowy, który atakuje komputery z wrażliwymi wersjami systemów operacyjnych Microsoft Windows XP i Windows 2000 . Sasser rozprzestrzenia się, wykorzystując system przez podatny port . W związku z tym jest szczególnie zjadliwy, ponieważ może rozprzestrzeniać się bez interwencji użytkownika, ale można go również łatwo zatrzymać przez odpowiednio skonfigurowaną zaporę ogniową lub pobieranie aktualizacji systemu z witryny Windows Update . Specyficzne luki w wykorzystaniu Sassera zostały udokumentowane przez Microsoft w biuletynie MS04-011 , dla którego poprawka została wydana siedemnaście dni wcześniej. Najbardziej charakterystycznym doświadczeniem robaka jest licznik czasu wyłączenia, który pojawia się z powodu awarii usługi LSASS przez robaka .

Historia i skutki

Sasser został utworzony 30 kwietnia 2004 r. Robak ten został nazwany Sasser, ponieważ rozprzestrzenia się, wykorzystując przepełnienie bufora w komponencie znanym jako LSASS ( Local Security Authority Subsystem Service ) w systemach operacyjnych, których dotyczy luka. Robak skanuje różne zakresy adresów IP i łączy się z komputerami ofiar głównie poprzez TCP portu 445. Analiza Microsoftu robaka wskazuje, że może również rozprzestrzeniać się za pośrednictwem portu 139. kilku wariantach zwanych Sasser.B , Sasser.C i Sasser.D pojawił się w ciągu kilku dni (z oryginałem nazwanym Sasser.A). Luka LSASS została załatana przez Microsoft w kwietniu 2004 r. W miesięcznych pakietach zabezpieczeń, przed wydaniem robaka. Niektórzy specjaliści od technologii spekulowali, że twórca robaka dokonał inżynierii wstecznej poprawki w celu wykrycia luki, która otworzyłaby miliony komputerów, których system operacyjny nie został zaktualizowany wraz z aktualizacją zabezpieczeń.

Sasser spowodował, że agencja informacyjna Agence France-Presse (AFP) zablokowała na wiele godzin całą łączność satelitarną, a amerykańska firma lotnicza Delta Air Lines musiała odwołać kilka lotów transatlantyckich, ponieważ jej systemy komputerowe zostały zalane przez robaka. Nordic firma ubezpieczeniowa Jeśli i ich fińskie właściciele Sampo Banku przyszedł do całkowitego zatrzymania i musiał zamknąć swoje biura w 130 Finlandii . Brytyjska straż przybrzeżna że jego elektroniczny serwis mapowanie zablokowana przez kilka godzin, a Goldman Sachs , Deutsche Post , a Komisja Europejska również wszyscy mieli problemy ze ślimakiem. Oddział rentgenowski w szpitalu uniwersyteckim w Lund miał wyłączone wszystkie czterowarstwowe aparaty rentgenowskie na kilka godzin i musiał kierować pacjentów z nagłymi promieniami rentgenowskimi do pobliskiego szpitala. University of Missouri został zmuszony do „odłączyć” od swojej sieci Internet w szerszej odpowiedzi na robaka.

Autor

W dniu 7 maja 2004 r. Aresztowano 18-letniego Niemca Sven Jaschana z Rotenburga w Dolnej Saksonii , wówczas ucznia szkoły technicznej, za napisanie robaka. Władze niemieckie zostały doprowadzone do Jaschan częściowo z powodu informacji uzyskanych w odpowiedzi na ofertę nagród firmy Microsoft w wysokości 250 000 USD.

Jeden z przyjaciół Jaschana poinformował Microsoft, że to jego przyjaciel stworzył robaka. Następnie ujawnił, że jego dziełem był nie tylko Sasser, ale także Netsky.AC, odmiana robaka Netsky . Inna odmiana Sassera , Sasser.E , krążyła wkrótce po aresztowaniu. Była to jedyna odmiana, która próbowała usunąć inne robaki z zainfekowanego komputera, podobnie jak robi to Netsky.

Jaschan był sądzony jako nieletni, ponieważ sądy niemieckie ustaliły, że stworzył robaka zanim skończył 18 lat. Sam robak został wypuszczony w dniu jego 18. urodzin (29 kwietnia 2004 r.). Sven Jaschan został uznany winnym sabotażu komputerowego i nielegalnej zmiany danych. W piątek 8 lipca 2005 roku otrzymał 21 miesięcy kary w zawieszeniu.

Skutki uboczne

Wskazanie infekcji robaka danego komputera jest istnienie plików C:\win.log , C:\win2.log lub C:\WINDOWS\avserve2.exe na dysku twardym komputera, tym ftp.exe działa losowo i 100% użycie procesora, jak również pozornie przypadkowych wypadków z LSA Shell (Export Version) spowodowane wadliwym kodem używany w robaku. Najbardziej charakterystycznym objawem robaka jest licznik czasu zamykania, który pojawia się z powodu awarii robaka LSASS.exe.

Obejścia

Sekwencję wyłączania można przerwać, naciskając przycisk Start i wprowadzając polecenie Uruchom shutdown -a . Spowoduje to przerwanie zamykania systemu, aby użytkownik mógł kontynuować to, co robił. Plik shutdown.exe nie jest domyślnie dostępny w systemie Windows 2000, ale można go zainstalować z zestawu zasobów systemu Windows 2000. Jest dostępny w systemie Windows XP. Drugą opcją powstrzymania robaka przed wyłączaniem komputera jest zmiana godziny i / lub daty na jego zegarze na wcześniejszą; czas wyłączenia przesunie się tak daleko w przyszłość, jak zegar został cofnięty.

Zobacz też

Linki zewnętrzne

  • Biuletyn zabezpieczeń firmy Microsoft: MS04-011
  • CAN - 2003-0533
  • Identyfikator Bugtraq 10108
  • Przeczytaj tutaj, jak możesz chronić swój komputer (strona Microsoft Security) - zawiera łącza do stron informacyjnych głównych firm antywirusowych.
  • Nowy robak Windows na wolności (artykuł w Slashdocie)
  • Raport o skutkach robaka z BBC
  • Niemiec przyznaje, że stworzył Sassera (BBC News)
  • Twórca Sasser unika kary więzienia (BBC News)