Sasser (компьютерный червь)
Компьютерный червь Windows 2005 года
Сассер
Техническое название
  • Win32/Sasser ( Майкрософт )
  • Червь:Win32/Sasser.[Письмо] (Microsoft)
  • Net-Worm:W32/Sasser ( F-Secure )
  • Net-Worm:W32/Sasser.[Письмо] (F-secure)
  • W32.Sasser.Worm ( Symantec )
  • W32.Sasser.[Письмо] (Symantec)
  • W32.Sasser.[Письмо].Червь (Symantec)
  • W32/Sasser-[Письмо] ( Sophos )
  • Worm.Win32.Sasser.[письмо] (Sophos)
  • W32.Sasser.Червь (Sophos)
  • W32/Sasser.червь.[письмо] (Sophos)
  • WORM_SASSER ( Trend Micro )
  • WORM_SASSER.[Письмо] (Trend Micro)
  • BAT_SASSER.[Письмо] (Trend Micro)
ТипЧервь
АвторыСвен Яшан
Технические подробности
ПлатформаWindows 2000 , Windows XP

Sasser — это компьютерный червь , поражающий компьютеры, работающие под управлением уязвимых версий операционных систем Microsoft Windows XP и Windows 2000. Sasser распространяется, эксплуатируя систему через уязвимый порт . Таким образом, он особенно опасен, поскольку может распространяться без вмешательства пользователя, но его также легко остановить с помощью правильно настроенного брандмауэра или загрузки обновлений системы из Центра обновления Windows . Конкретная дыра, которую использует Sasser, задокументирована Microsoft в ее бюллетене MS04-011 (CVE-2003-0533), исправление для которого было выпущено семнадцатью днями ранее. [1] Наиболее характерным опытом использования червя является таймер выключения, который появляется из-за сбоя червем LSASS .

История и эффекты

Sasser был создан 30 апреля 2005 года. [2] Этот червь был назван Sasser, потому что он распространяется, используя переполнение буфера в компоненте, известном как LSASS ( Local Security Authority Subsystem Service ) на затронутых операционных системах. Согласно отчету eEye Digital Security, опубликованному 13 апреля 2004 года, это переполнение буфера опирается на, по-видимому, устаревший вызов API к Microsoft Active Directory, который позволяет выполнять непроверенные удаленные запросы и приводит к сбою LSASS.exe, если ему задана длинная строка. [3] Попав на машину, червь сканирует различные диапазоны IP-адресов и подключается к компьютерам жертв в основном через TCP -порт 445. Если обнаружена уязвимая установка XP или 2000, червь использует свой собственный FTP-сервер, размещенный на ранее зараженных машинах, чтобы загрузить себя на недавно скомпрометированный хост. Анализ червя, проведенный Microsoft, показывает, что он также может распространяться через порт 139. Несколько вариантов, названных Sasser.B , Sasser.C , и Sasser.D появились в течение нескольких дней (с оригинальным названием Sasser.A). Уязвимость LSASS была исправлена ​​Microsoft в выпуске ежемесячных пакетов безопасности за апрель 2004 года, до выпуска червя. Некоторые специалисты по технологиям предположили, что автор червя провел обратную разработку исправления, чтобы обнаружить уязвимость, которая открыла бы миллионы компьютеров, операционная система которых не была обновлена ​​с помощью обновления безопасности. [4]

Последствия Sasser включали в себя блокировку всех спутниковых коммуникаций информационного агентства Agence France-Presse (AFP) на несколько часов, а также отмену нескольких трансатлантических рейсов американской авиакомпании Delta Air Lines из-за того, что ее компьютерные системы были завалены червем. Скандинавская страховая компания If и ее финские владельцы Sampo Bank полностью остановились и были вынуждены закрыть свои 130 офисов в Финляндии . Британская береговая охрана на несколько часов отключила свою электронную картографическую службу, а Goldman Sachs , Deutsche Post и Европейская комиссия также столкнулись с проблемами из-за червя. Рентгеновское отделение университетской больницы Лунда на несколько часов отключило все свои четырехслойные рентгеновские аппараты и было вынуждено перенаправлять пациентов, которым требовалась срочная рентгенография, в ближайшую больницу.

Автор

8 мая 2005 года 19-летний немец по имени Свен Яшан из Ротенбурга , Нижняя Саксония , тогда студент технического колледжа, был арестован за написание червя. Немецкие власти вышли на Яшана отчасти из-за информации, полученной в ответ на предложение Microsoft о вознаграждении в размере 250 000 долларов США.

Один из друзей Яшана сообщил Microsoft, что червя создал его друг. Он также сообщил, что не только Sasser, но и Netsky.AC, вариант червя Netsky , был его творением. Вскоре после ареста была обнаружена еще одна вариация Sasser, Sasser.E . Это была единственная вариация, которая пыталась удалить других червей с зараженного компьютера, во многом так же, как это делает Netsky.

Яшана судили как несовершеннолетнего, поскольку немецкие суды постановили, что он создал червя до того, как ему исполнилось 18 лет. Сам червь был выпущен в день его 18-летия (29 апреля 2004 года). Свен Яшан был признан виновным в компьютерном саботаже и незаконном изменении данных. В пятницу, 8 июля 2005 года, он получил 21 месяц условного срока.

Побочные эффекты

Признаком заражения данного ПК червем является наличие файлов C:\win.log, C:\win2.logили C:\WINDOWS\avserve2.exeна жестком диске ПК, ftp.exeзапуск случайным образом и 100% загрузка процессора, а также, казалось бы, случайные сбои с LSA Shell (Export Version), вызванные неисправным кодом, используемым в черве. Наиболее характерным симптомом червя является таймер выключения, который появляется из-за сбоя червем LSASS.exe.

Обходные пути

Последовательность выключения можно прервать, нажав кнопку «Пуск» и используя команду «Выполнить» для ввода shutdown /a. Это прервет выключение системы, чтобы пользователь мог продолжить то, что он делал. Файл shutdown.exe недоступен по умолчанию в Windows 2000, но может быть установлен из набора ресурсов Windows 2000. Он доступен в Windows XP. Второй вариант, позволяющий червю не выключать компьютер, — изменить время и/или дату на его часах на более раннее; время выключения сдвинется в будущее настолько, насколько были переведены часы назад.

Удаление

Червя Sasser можно удалить, нажав кнопку «Пуск» и используя команду «Выполнить» для ввода shutdown /a. Это отменит завершение работы, вызванное завершением работы lsass.exe, что даст пользователю больше времени для удаления червя. Червя можно удалить, запустив regedit.exeи перейдя в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Там пользователь должен удалить avserve2.exeстроку. Затем пользователь должен завершить работу avserve2.exeв диспетчере задач. Затем пользователь должен перейти в C:\и удалить win2.log. Наконец, пользователь должен перейти в C:\Windowsи удалить avserve2.exeи перезагрузиться. После перезагрузки ПК пользователя больше не будет заражен Sasser.

Смотрите также

Ссылки

  1. ^ "Win32/Sasser". Microsoft Security Intelligence . 11 ноября 2004 г. Архивировано из оригинала 31 октября 2022 г. Получено 6 февраля 2023 г.
  2. ^ Macrae, Duncan (2014-04-11). "Все, что вам нужно знать о черве Sasser". Tech Monitor . Получено 2023-02-06 .
  3. ^ "Сетевая безопасность, оценка уязвимости, предотвращение вторжений". 2006-01-09. Архивировано из оригинала 2006-01-09 . Получено 2023-02-06 .
  4. ^ Net-Worm.Win32.Sasser в физической сети ПК , получено 2023-02-06
  • Бюллетень безопасности Microsoft: MS04-011
  • Канада - 2003-0533
  • Идентификатор Bugtraq 10108
  • Узнайте здесь, как защитить свой ПК (страница «Безопасность» Microsoft) — содержит ссылки на информационные страницы основных антивирусных компаний.
  • Новый червь Windows на свободе (статья на Slashdot)
  • Отчет о последствиях червя от BBC
  • Герман признался в создании Сассера (BBC News)
  • Создатель Sasser избежал тюремного срока (BBC News)
Взято с "https://en.wikipedia.org/w/index.php?title=Sasser_(компьютерный_червь)&oldid=1273456943"