Сассер (компьютерный червь)

Сассер
Сассер
Техническое название	Win32/Сассер ( Майкрософт ) ; Червь:Win32/Sasser.[Letter] (Microsoft) ; Сетевой червь:W32/Sasser ( F-Secure ) ; Net-Worm:W32/Sasser.[Letter] (F-secure) ; W32.Sasser.Worm ( Symantec ) ; W32.Sasser.[Письмо] (Symantec) ; W32.Sasser.[Письмо].Червь (Symantec) ; W32/Сассер-[Буква] ( Софос ) ; Червь.Win32.Sasser.[письмо] (Sophos) ; W32.Sasser.Worm (Sophos) ; W32/Sasser.worm.[письмо] (Sophos) ; WORM_SASSER ( Trend Micro ) ; WORM_SASSER.[Letter] (Trend Micro) ; BAT_SASSER.[Буква] (Trend Micro) ;
Тип	Червь
Авторы	Свен Яшан
Технические детали
Платформа	Windows 2000 , Windows XP

Sasser — компьютерный червь , поражающий компьютеры под управлением уязвимых версий Microsoft операционных систем Windows XP и Windows 2000 . Sasser распространяется путем использования системы через уязвимый порт . Таким образом, он особенно опасен, поскольку может распространяться без вмешательства пользователя, но его также легко остановить правильно настроенным брандмауэром или загрузкой обновлений системы из Центра обновления Windows . Конкретные уязвимости Sasser описаны Microsoft в бюллетене MS04-011 , патч для которого был выпущен семнадцатью днями ранее. ^[1] Наиболее характерным проявлением червя является таймер выключения, который появляется из-за сбоя LSASS червя .

История и эффекты

Сассер был создан 30 апреля 2004 года. ^[2] Этот червь получил название Sasser, поскольку он распространяется, используя переполнение буфера в компоненте, известном как LSASS ( Local Security Authority Subsystem Service ), в затронутых операционных системах. Согласно отчету eEye Digital Security, опубликованному 13 апреля 2004 г., это переполнение буфера основано на явно устаревшем API-вызове Microsoft Active Directory, который позволяет выполнять непроверяемые удаленные запросы и приводит к сбою LSASS.exe, если ему задана длинная строка. ^[3] Попав на машину, червь сканирует различные диапазоны IP-адресов и подключается к компьютерам жертв преимущественно через TCP- порт 445. Если обнаруживается уязвимая установка XP или 2000, червь использует для загрузки собственный FTP-сервер, размещенный на ранее зараженных машинах. себя на недавно скомпрометированный хост. Анализ червя, проведенный Microsoft, показывает, что он также может распространяться через порт 139. Несколько вариантов под названием Sasser.B , Sasser.C и Sasser.D появились в течение нескольких дней (оригинал назывался Sasser.A). Уязвимость LSASS была исправлена Microsoft в апрельском выпуске ежемесячных пакетов безопасности 2004 года, еще до выпуска червя. Некоторые технические специалисты предполагают, что создатель червя перепроектировал патч, чтобы обнаружить уязвимость, которая может открыть миллионы компьютеров, операционная система которых не была обновлена с помощью обновления безопасности. ^[4]

Последствия Sasser включали информационного агентства Agence France-Presse блокировку спутниковой связи (AFP) на несколько часов, а американской авиакомпании Delta Air Lines пришлось отменить несколько трансатлантических рейсов, поскольку ее компьютерные системы были захвачены червем. Скандинавская Sampo страховая компания If и ее финские владельцы Bank полностью прекратили свою деятельность и были вынуждены закрыть свои 130 офисов в Финляндии . Британская Goldman береговая охрана на несколько часов отключила службу электронных карт, а у Sachs , Deutsche Post и Европейской комиссии также были проблемы с червем. В рентгеновском отделении университетской больницы Лунда на несколько часов были отключены все четырехслойные рентгеновские аппараты , и им пришлось перенаправить пациентов, проходящих неотложную рентгенографию, в ближайшую больницу.

Автор

7 мая 2004 года 18-летний немец по имени Свен Яшан из Ротенбурга , Нижняя Саксония , тогда студент технического колледжа, был арестован за написание червя. Немецкие власти были привлечены к Яшану отчасти из-за информации, полученной в ответ на предложение Microsoft о вознаграждении в размере 250 000 долларов США.

Один из друзей Джашана сообщил Microsoft, что червь создал его друг. Далее он сообщил, что не только Sasser, но и Netsky.AC, вариант червя Netsky , был его творением. Другой вариант Sasser, Sasser.E , оказался в обращении вскоре после ареста. Это был единственный вариант, который пытался удалить других червей с зараженного компьютера, во многом аналогично тому, как это делает Netsky.

Яшана судили как несовершеннолетнего, поскольку суды Германии установили, что он создал червя до того, как ему исполнилось 18 лет. Сам червь был выпущен в день его 18-летия (29 апреля 2004 г.). Свен Яшан был признан виновным в компьютерном саботаже и незаконном изменении данных. В пятницу, 8 июля 2005 г., он был приговорен к 21 месяцу условно.

Побочные эффекты

червем Признаком заражения компьютера является наличие файлов C:\win.log, C:\win2.log или C:\WINDOWS\avserve2.exe на жестком диске ПК, ftp.exe случайная работа и 100% загрузка ЦП, а также кажущиеся случайными сбои LSA Shell (экспортная версия), вызванные ошибочным кодом, используемым в черве. Наиболее характерным признаком червя является таймер выключения, который появляется из-за сбоя червя LSASS.exe.

Обходные пути

Последовательность выключения можно прервать, нажав кнопку «Пуск» и используя команду «Выполнить» для входа в систему. shutdown /a. Это прерывает выключение системы, чтобы пользователь мог продолжить свои действия. Файл Shutdown.exe по умолчанию недоступен в Windows 2000, но его можно установить из пакета ресурсов Windows 2000. Он доступен в Windows XP. Второй способ не дать червю выключить компьютер — изменить время и/или дату на его часах на более раннее; время выключения переместится настолько далеко в будущее, на сколько часы были переведены назад.

Удаление

Червь Sasser можно удалить, нажав кнопку «Пуск» и введя «Выполнить» . команду shutdown /a. Это прервет завершение работы, вызванное завершением работы lsass.exe, предоставив пользователю больше времени для удаления червя. Червя можно удалить, запустив regedit.exe и переход к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Там пользователь должен удалить avserve2.exe нить. Далее пользователь должен прекратить avserve2.exe в диспетчере задач. Далее пользователю необходимо перейти к C:\ и удалить win2.log. Наконец, пользователь должен перейти к C:\Windows и удалить avserve2.exe и перезагрузитесь. После перезагрузки компьютер пользователя больше не будет заражен Sasser.

См. также

Ссылки

^ «Win32/Сассер» . Служба безопасности Майкрософт . 11 ноября 2004 г. Архивировано из оригинала 31 октября 2022 г. Проверено 6 февраля 2023 г.
^ Макрэ, Дункан (11 апреля 2014 г.). «Все, что вам нужно знать о черве Sasser» . Технический монитор . Проверено 06 февраля 2023 г.
^ «Сетевая безопасность, оценка уязвимостей, предотвращение вторжений» . 09.01.2006. Архивировано из оригинала 9 января 2006 г. Проверено 06 февраля 2023 г.
^ Net-Worm.Win32.Sasser в физической сети ПК , получено 6 февраля 2023 г.

Внешние ссылки

Бюллетень по безопасности Microsoft: MS04-011
МОЖЕТ - 2003-0533
Идентификатор ошибки 10108
Прочтите здесь, как защитить свой компьютер (страница «Безопасность Microsoft») . Содержит ссылки на информационные страницы основных антивирусных компаний.
Новый Windows-червь в свободном доступе (статья на Slashdot)
Отчет о последствиях червя от BBC
Герман признает, что создал Sasser (BBC News)
Создатель Sasser избежал тюремного заключения (BBC News)

[1] «Win32/Сассер» . Служба безопасности Майкрософт . 11 ноября 2004 г. Архивировано из оригинала 31 октября 2022 г. Проверено 6 февраля 2023 г.

[2] Макрэ, Дункан (11 апреля 2014 г.). «Все, что вам нужно знать о черве Sasser» . Технический монитор . Проверено 06 февраля 2023 г.

[3] «Сетевая безопасность, оценка уязвимостей, предотвращение вторжений» . 09.01.2006. Архивировано из оригинала 9 января 2006 г. Проверено 06 февраля 2023 г.

[4] Net-Worm.Win32.Sasser в физической сети ПК , получено 6 февраля 2023 г.

[1]

[2]

[3]

[4]