Skoči na vsebino

SI-CERT 2004-04 / Širjenje Sasser črva

Dopolnjeno: 6. 5. 2004

V zadnjih dneh se je povečal promet po internetu, na podlagi katerega je mogoče sklepati o širjenju črva Sasser, ki izkorišča luknjo, v Microsoft LSASS sistemu v Windows 2000 in XP operacijskih sistemih.

Pojav takšnega črva je bil predviden že ob objavi aprilskih popravkov za Microsoft Windows (glej SI-CERT 2004-03 obvestilo).

Opis

Sasser črv se širi samodejno med Windows 2000/XP računalniki in za prenos ne uporablja elektronske pošte. Izkorišča ranljivost v Microsoft LSASS sistemu, ki je opisana v Microsoftovem obvestilu MS04-11.

Na nekaterih računalnikih lahko Sasser povzroči napako, ki zaustavi računalnik.

Sasser se širi preko TCP porta 445, ob okužbi pa namesti FTP strežnik na TCP portu 5554 in dostop do ukazne vrstice na TCP portu 9996.

Rešitev

Vsem uporabnikom svetujemo, da svoj računalnik zaščitijo s požarnim zidom in namestijo vse ustrezne popravke. Windows XP že vsebujejo požarni zid, ki ga je potrebno le aktivirati, za ostale verzije Windows operacijskih sistemov pa morate namestiti poseben program. Več informacij je na voljo na naslednjih naslovih:

Windows XPhttp://www.microsoft.com/security/protect/
ostale verzije Windowshttp://www.arnes.si/si-cert/zascita.htm

Če je vaš računalnik že okužen s Sasser črvom, potem uporabite enega od spodnjih naslovov za informacije in orodja, ki črva odstranijo:

Če vam računalnik javlja, da bo izvedel zaustavitev sistema (“Shutdown”), lahko le-to prekinete tako, da kliknete na Start->Zaženi/Run, v okence zapišete shutdown -a in kliknete na OK.

Trenutno stanje

Sodeč po podatkih, ki so bili zbrani iz vzorca prometa na ARNES hrbteničnem omrežju, je razviden trend upadanja stopnje okužb na omrežju. Vzorec prometa zaradi narave zbiranja vsebuje tudi majhen šum, ki predstavlja promet, ki ni rezultat okužb s črvom. Dodatni razlog za sorazmerno nizko stopnjo okužb na omrežju ARNES je tudi delno filtriranje prometa na omrežju ARNES, ki širjenja črva ne more popolnoma preprečiti, ga pa vseeno v dokajšnji meri omeji.

Graf, ki prikazuje upadanje števila okužb
Število okužb upada

Povezave

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več