PDA

Visualizza versione completa : W32.Sasser.E - Allerta 4 - Update


Giorgius
09-05-2004, 14.31.03
http://www.pandasoftware.es/img/enc/W32SasserA_img1_ES.gif
Schermata di WinXP spagnolo

Aliases:
W32/Sasser.E (Symantec), W32/Sasser.E.worm (Panda Software), W32/Sasser.worm.e (McAfee)

Effetti:
W32.Sasser.E.Worm is a minor variant of W32.Sasser.Worm. It attempts to exploit the LSASS vulnerability described in Microsoft Security Bulletin MS04-011 and spreads by scanning randomly selected IP addresses for vulnerable systems. W32.Sasser.E.Worm differs from W32.Sasser.Worm as follows:

- Uses a different mutex: SkynetNotice.
- Uses a different file name: lsasss.exe.
- Creates a different value in the registry: "lsasss.exe".
- Uses different port numbers, used by FTP server and the remote shell: 1023 and 1022.
- After 2 hours of running it displays a message.
- It deletes the values from the registry, which are known to be installed by Trojan.Mitglieder, W32.Beagle.W@mm, and W32.Beagle.X@mm.
- The name of the file retrieved from the FTP server is followed by _update.exe.
- The worm logs data into the file C:\ftplog.txt.

W32.Sasser.E.Worm can run on (but not infect) Windows 95/98/Me computers. Although these operating systems cannot be infected, they can still be used to infect vulnerable systems that they are able to connect to.

Info:
http://www.enciclopediavirus.com/virus/vervirus.php?id=836
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.e.worm.html
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3870&PHPSESSID=aa92701e1177f975b10ec3a0713111ee
http://vil.nai.com/vil/content/v_125091.htm
http://www.f-secure.com/v-descs/sasser_e.shtml
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=59071&VName=WORM_SASSER.E
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=47232


Aggiornamento AntiVirus al 10/05/04 ;)(Y)

Giorgius
09-05-2004, 14.52.16
New variant of Sasser has been found, even after the author has been apprehended. The first known case of Sasser.E was reported roughly 10 hours after the arrest.

We believe Mr. Jürgens (who has confessed to writing all the Sasser and Netsky variants) had distributed this version shortly before his arrest. He has been released on bail, but this was only after first reports of this new variant were in.

The E variant does not appear to be hack done by someone else. For one, it tries to remove the Bagle worm, unlike earlier Sassers but just like many Netsky variants. - F-Secure

Giorgius
09-05-2004, 14.56.23
Ikarus: http://download.ikarus.at/remover/IkarusRem_Sasser.exe
BitDefender: http://www.bitdefender-es.com/bd/downloads/removaltools/Antisasser-ES.exe
Pspl: http://www.pspl.com/download/cleanss.exe



http://www.microsoft.com/library/toolbar/3.0/images/banners/ms_masthead_ltr.gif
Manual Disinfection:

To manually disinfect an infected system, first apply the Microsoft patch MS04-011, then use Task Manager to kill the "lsasss.exe" process, then delete the file 'skynetave.exe' from your Windows directory and reboot.
For step-by-step instructions, see Microsoft's site:
http://www.microsoft.com/security/incident/sasser.asp#steps

Sasser (A-E) Worm Removal Tool (KB841720):
http://www.microsoft.com/downloads/details.aspx?familyid=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en

Giorgius
09-05-2004, 15.45.58
http://it.news1.yimg.com/f/1/1/1d/eur.news1.yimg.com/eur.yimg.com/xp/reuters_ids/20040509/i/3755284214.jpg

HANNOVER, Germania (Reuters) - Un timido adolescente tedesco, considerato un "fanatico del computer", ha gettato nel panico i computer di tutto il mondo sviluppando il micidiale virus Sasser in un sonnolento paesino della Germania rurale, dopo essere stato istigato da alcuni amici, riferisce la polizia.

Il giovane liceale, che compirà 18 anni alla fine di aprile, ha confessato di aver creato il virus a rapida diffusione ma sembra non aver realizzato i danni che esso ha creato, dicono gli inquirenti.

Ora è stato rilasciato ma potrebbe dover affrontare l'accusa di sabotaggio informatico, un reato la cui pena prevede sino a 5 anni di carcere, ma che probabilmente non dovrà scontare vista la sua minore età.

Anche se le autorità non hanno diffuso l'identità del ragazzo, una folla di giornalisti ha circondato la sua casa nel paesino di Waffensen, appena 920 abitanti.

Il ragazzo, di un'intelligenza superiore secondo gli inquirenti, faceva parte di un gruppo di studenti di informatica appassionati di programmazione di software. Proprio i suoi amici lo avrebbero incoraggiato a sviluppare il virus Sasser.

Giorgius
10-05-2004, 09.37.01
http://images.dshield.org/images/isc_header_logo.gif
Updated May 10th 2004 03:40 UTC

We received a submission of an exploit for Sasser's FTP server. It appears to be a buffer overflow targeting port 5554 by default. If successful it will spawn a shell listening on port 53. Anyone seeing any traffic or activity related to this please let use know.

Giorgius
10-05-2004, 09.39.16
http://www.foundstone.com/images/logo_foundstone.jpg

LSASS scanner
Copyright 2004 (c) by Foundstone, Inc.
http://www.foundstone.com

A Windows® network admin utility for remotely detecting LSASS vulnerability released in the MS04-011 bulletin. Allows you to scan multiple IP ranges and send an alert message to vulnerable systems. Note: This tool requires the ability to establish a null session to each target host.

Note:
Some Anti-virus packages may falsely report viruses in some of our tools. These tools, like many network utilities, have the ability to cause crippling performance and other damage to the hosts and networks they run against. Because of this, some Antivirus software may identify these tools as being Denial of Service (DoS) agents, Trojans, back-doors or other forms of virus.

Download:
Mirror: http://www.foundstone.com/resources/termsofuse.htm?file=dsscan.zip

Giorgius
10-05-2004, 12.38.09
(ASCA) - Roma, 10 mag - Un nuovo identity file (Ide) e' disponibile sul sito di Sophos e sara' incluso nella versione di giugno 2004 (3.82) di Sophos Anti-Virus. Maggiori informazioni su W32/Sasser-E sono disponibili all'indirizzo www.sophos.com/virusinfo/analyses/w32sassere.html. E' possibile scaricare il file Ide da www.sophos.com/downloads/ide/sasser-e.ide. Per informazioni su come usare i file Ide: www.sophos.com/downloads/ide/using.html.

Giorgius
10-05-2004, 13.35.39
Roma, 10 mag. (Adnkronos/ITnews) - Trend Micro segnala che il numero delle infezioni provocate dalle diverse varianti della famiglia WORM_SASSER continua a crescere. Il worm e' stato scoperto il 1 Maggio 2004; le varianti dalla A alla D sono state messe sotto osservazione dal 3 maggio e, da quel giorno, Trend Micro ha considerato questa famiglia di worm ad alto rischio per gli utenti di computer. Secondo le rilevazioni condotte da Trend Micro, il 4 maggio (nel periodo di 24 ore che iniziava e terminava alle 02:00 am GMT) c'e' stato un incremento del 43% delle infezioni del worm ''Sasser'' (contando le varianti A,B,C e D) rispetto allo stesso intervallo di tempo del 3 maggio. (Mak/Adnkronos)

Giorgius
10-05-2004, 18.18.06
http://www.i-dome.com/imax/sasser-arrestato.jpg

... Secondo Luis Corrons, direttore di PandaLab "questo confermerà i sospetti che non è una sola persona ad aver programmato sia i worm Sasser che quelli di Netsky. Si tratta invece di un gruppo di delinquenti organizzati. Tutto questo lascia ad intendere che la cyber-guerra degli autori dei worm Bagle, Mydoom, Netsky e Sasser continuerà a lungo con la comparsa di nuove varianti" ...

Leggi: http://www.netmanager.it/Site/Tool/Article?ida=11109

Giorgius
11-05-2004, 13.31.45
(ASCA) - Roma, 11 mag - Sonicwall ha annunciato il rilascio del nuovo Intrusion Prevention Service (Ips), un servizio che protegge i clienti dagli attacchi esterni del worm Sasser e dalla sua propagazione interna sui sistemi. Questo worm sfrutta un problema del servizio Lsass (Local Security Authority Subsystem Service) dei sistemi operativi Windows 2000 e Windows Xp. Il worm crea un server Ftp (File Transfer Protocol) sugli host infettati e utilizza questi host per cercare sistemi vulnerabili collegati a Internet. Individuato l'obiettivo vulnerabile, il worm stabilisce una connessione remota al sistema target e si installa automaticamente su tale sistema mediante una richiesta Ftp all'host infettato in origine. La propagazione non richiede alcun intervento da parte dell'utente, come per esempio l'apertura di un allegato, e il worm puo' causare l'interruzionee il riavvio casuale dei computer infettati. Il servizio Ips identifica il codice maligno che entra nella rete dall'esterno, ma esegue anche il monitoraggio del traffico e blocca la propagazione interna dei worm. Sonicwall offre anche un software per la sicurezza totale dei client per garantire la protezione dei lavoratori mobile fuori dal firewall aziendale, bloccando l'accesso alla rete attraverso porte vulnerabili. Per maggiori informazioni: www.sonicwall.com.

Giorgius
11-05-2004, 13.55.12
In rete da poche ore la variante "F" del Virus (riciclo della variante "A" di Sasser)...
http://www.wintricks.it/forum/showthread.php?threadid=67607

riker
11-05-2004, 20.51.15
Info & tools gratuiti per l'individuazione e la rimozione del virus Sasser.

http://blob

Saluti.

Riker (Y) (Y) (Y)

Giorgius
11-05-2004, 21.20.02
Originariamente inviato da riker
Info & tools gratuiti per l'individuazione e la rimozione del virus Sasser.




I Tool non sono sufficenti, bisogna a volte manualmente eliminare le stringhe del suddetto Virus dal registro di Windows. ;)

Doomboy
12-05-2004, 10.09.18
Secondo me, Riker, dovresti rileggerti un pochino il regolamento (http://www.wintricks.it/forum/regolamento.html) del forum, inquanto mi sembra tu stia facendo pubblicità del "tuo" sito in modo non consono:

Si accetta un riferimento al proprio sito web nella signature, c'è inoltre il pulsante "Sito Web".

Ma tu ci metti il carico con un avatar fatto apposta, ed in più ti pubblicizzi così il tuo sito, con un thread del genere :confused:

;)

riker
13-05-2004, 19.11.45
Originariamente inviato da Doomboy
Secondo me, Riker, dovresti rileggerti un pochino il regolamento (http://www.wintricks.it/forum/regolamento.html) del forum, inquanto mi sembra tu stia facendo pubblicità del "tuo" sito in modo non consono:

Si accetta un riferimento al proprio sito web nella signature, c'è inoltre il pulsante "Sito Web".

Ma tu ci metti il carico con un avatar fatto apposta, ed in più ti pubblicizzi così il tuo sito, con un thread del genere :confused:

;)

Oooppps.
Non era mia intenzione: volevo solo permettere a chi ha tutt'ora dei problemi con Sasser di rimuoverlo, senza diventare matto a cercare tools e rimedi.

Riker ;)