w32sasera w32saserb W32/Sasser-A W32/Sasser-B Sophos Qubis virus antivirus spam antispam

Crvi W32/Sasser-A i W32/Sasser-B
(3. svibnja 2004.)

Primijećena je aktivnost crva W32/Sasser-A i W32/Sasser-B za koji je Sophos Plc primio veći broj prijava otkrivanja. Qubis d.o.o. do sada nije primio značajniji broj otkrivanja ovog crva u Hrvatskoj. Crve W32/Sasser-A i W32/Sasser-B prepoznavat će Sophos Anti-Virus za lipanj 2004. (v.3.82).

Instalacije svih korisnika koji koriste EMLibrary, PureMessage i/ili neki od paketa Sophos Small Business bile su dograđene automatski 1. (inačica A) odn. 2. svibnja (inačica B) 2004. Svim ostalim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dopune hitnom dogradnjom za prepoznavanje ovog crva koju možete naći na http://www.sophos.com/downloads/ide/.

Vrsta

Win32 crv

Alias

W32/Sasser.worm

Način širenja

Širi se korištenjem sigurnosnog propusta opisanog na Microsoftovim stranicama.

Aktivnosti / Simptomi / Posljedice

Na napadnuto računalo crv se instalira korištenjem sigurnosnog propusta koji mu omogućava preuzimanje komandnog shella napadom na portove 445 i 9996. Nakon toga aktivira FTP i preuzima inficiranu datoteku preko porta 5554. Kreira sljedeće datoteke:

%WindwosFolder%\avserve.exe (inačica A)
c:\win2.log

%WindowsFolder%\avserve2.exe (inačica B)

U registry dodaje:

HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
avserve = avserve.exe

Uklanjanje

Automatsko uklanjanje

Korištenjem Sophosovog alata commandline ili GUI.

Ručno uklanjanje

Windows NT-klasa (Windows NT, 2000, XP, 2003):

preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep for NT)
pokrenite računalo u Safe mode with Command prompt
programom %ProgramFiles%\Sophos Sweep for NT\sav32cli.exe provjerite i očistite računalo
uklonite u registry-ju stavke koje postavlja crv

Zaštita od infekcije

aktiviranje i/ili podešavanje vatrozida, zabrana prometa na portovima 445, 5554, 9996
primjena zakrpa za napadnute operacijske sustave i aplikacije
(upozoravamo da je s navedenom Microsoftovom zakrpom bilo nekih poteškoća nakon primjene, pa provjerite informacije o tome)

Ostalo

Sophos - Podaci o crvu W32/Sasser-A
Sophos - Podaci o crvu W32/Sasser-B
Microsoftove stranice s opisom propusta i zakrpom (provjerite i opis mogućih problema nakon primjene)
Sophosov alat za čišćenje crva (GUI)
Sophosov alat za čišćenje crva (commandline)

Sažetak svojstava

Širenje
Elektroničkom poštom	Q
Lažna adresa u polju 'From:'	Q
Dijeljeni mrežni direktoriji	Q
'Peer-2-peer' mreže	Q
Ostalo	R
Aktivnost
Zaustavlja Sophosove servise	Q
Mijenja registry	R
Kreira / mijenja datoteke	R
Omogućava backdoor pristup	Q
Otvara port	Q
Bilježi aktivnosti tipkovnice (KeyLogging)	Q
Automatski se obnavlja	Q
Uklanjanje
Uklanjanjem (DOS ili Safe mode + cmd prompt)	R
Promjenom registry-ja	R
Čišćenjem datoteka	Q
Uklanjanjem datoteka	R
Zaštita
Primjenom servisnog paketa ili sigurnosne zakrpe za OS ili napadnutu aplikaciju (Microsoft)	R
Filtriranjem sadržaja na proxy poslužitelju	R
Filtriranjem sadržaja na poslužitelju elektroničke pošte	Q
Aktiviranjem vatrozida (445, 5554, 9996)	R
Podukom korisnika o sigurnom korištenju Interneta	Q