Security Lab

Net-Worm.Win32.Sasser.d

Net-Worm.Win32.Sasser.d

Сетевой вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows.

Net-Worm.Win32.Sasser.d («Лаборатория Касперского») также известен как: Worm.Win32.Sasser.d («Лаборатория Касперского»), W32/Sasser.worm.e (McAfee), W32.Sasser.E.Worm (Symantec), Win32.HLLW.Jobaka.5 (Doctor Web), W32/Sasser-E (Sophos), Win32/Sasser.E.worm (RAV), WORM_SASSER.E (Trend Micro), Worm/Sasser.E (H+BEDV), W32/Sasser.E (FRISK), Win32:Sasser-E (ALWIL), I-Worm/Sasser.E (Grisoft), Win32.Worm.Sasser.E (SOFTWIN), Worm.Sasser.E (ClamAV), W32/Sasser.E.worm (Panda), Win32/Sasser.E (Eset)

Сетевой вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011 .

Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows — RPC DCOM.

Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.

Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 16КБ, упакован PECompact2.

Признаками заражения компьютера являются:

* наличие файла "lsasss.exe" в каталоге Windows;

* сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы.

Отличия от версии Sasser.c

Данный вариант червя отличается от варианта Sasser.c измененным именем своего файла. Вместо skynetave.exe используется lsasss.exe (соответственно изменен и ключ в системном реестре).

Червь удаляет из реестра возможные записи, относящиеся к различным модификациям вирусов Email-worm.Win32.Bagle и Trojan-Proxy.Win32.Mitglieder.

Также изменено название создаваемого идентификатора - SkynetNotice.

После двух часов работы червь выводит на экран сообщение со следующим содержанием:

1. Your computer is affected by the MS04-011 vulnerability

2. It can be that dangerous computer viruses similar the Blaster worm infect your computer

3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website

4. This is an message from the SkyNet Team for malicious activity prevention

При атаке на удаленной машине запускает FTP службу на порту TCP 1023 и remote shell на порту TCP 1022.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение