Skoči na vsebino

SI-CERT 2004-04 / Širjenje Sasser črva

Dopolnjeno: 6. 5. 2004

V zadnjih dneh se je povečal promet po internetu, na podlagi katerega je mogoče sklepati o širjenju črva Sasser, ki izkorišča luknjo, v Microsoft LSASS sistemu v Windows 2000 in XP operacijskih sistemih.

Pojav takšnega črva je bil predviden že ob objavi aprilskih popravkov za Microsoft Windows (glej SI-CERT 2004-03 obvestilo).

Opis

Sasser črv se širi samodejno med Windows 2000/XP računalniki in za prenos ne uporablja elektronske pošte. Izkorišča ranljivost v Microsoft LSASS sistemu, ki je opisana v Microsoftovem obvestilu MS04-11.

Na nekaterih računalnikih lahko Sasser povzroči napako, ki zaustavi računalnik.

Sasser se širi preko TCP porta 445, ob okužbi pa namesti FTP strežnik na TCP portu 5554 in dostop do ukazne vrstice na TCP portu 9996.

Rešitev

Vsem uporabnikom svetujemo, da svoj računalnik zaščitijo s požarnim zidom in namestijo vse ustrezne popravke. Windows XP že vsebujejo požarni zid, ki ga je potrebno le aktivirati, za ostale verzije Windows operacijskih sistemov pa morate namestiti poseben program. Več informacij je na voljo na naslednjih naslovih:

Windows XPhttp://www.microsoft.com/security/protect/
ostale verzije Windowshttp://www.arnes.si/si-cert/zascita.htm

Če je vaš računalnik že okužen s Sasser črvom, potem uporabite enega od spodnjih naslovov za informacije in orodja, ki črva odstranijo:

Če vam računalnik javlja, da bo izvedel zaustavitev sistema (“Shutdown”), lahko le-to prekinete tako, da kliknete na Start->Zaženi/Run, v okence zapišete shutdown -a in kliknete na OK.

Trenutno stanje

Sodeč po podatkih, ki so bili zbrani iz vzorca prometa na ARNES hrbteničnem omrežju, je razviden trend upadanja stopnje okužb na omrežju. Vzorec prometa zaradi narave zbiranja vsebuje tudi majhen šum, ki predstavlja promet, ki ni rezultat okužb s črvom. Dodatni razlog za sorazmerno nizko stopnjo okužb na omrežju ARNES je tudi delno filtriranje prometa na omrežju ARNES, ki širjenja črva ne more popolnoma preprečiti, ga pa vseeno v dokajšnji meri omeji.

Graf, ki prikazuje upadanje števila okužb
Število okužb upada

Povezave

Preberite tudi

SI-CERT 2021-03 Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več

SI-CERT 2021-02 / Kritične ranljivosti Exim poštnega strežnika

V sistemu za posredovanje e-sporočil (MTA) Exim je bilo odkritih več varnostnih pomanjkljivosti, med njimi so tudi take, ki omogočajo izvajanje ukazov na daljavo s povišanimi (root) pravicami (remote command execution – RCE). Ranljivosti so prisotne v vseh različicah Exim MTA izdanih do trenutno zadnje verzije 4.94.2. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico.
Več

SI-CERT 2021-01 / Kritične ranljivosti Microsoft Exchange strežnikov

Microsoft je izdal popravke, s katerimi je zakrpal več 0-day kritičnih ranljivosti Microsoft Exchange strežnikov. Po podatkih Microsofta naj bi se pred izdajo popravkov ranljivosti že izkoriščale v posameznih napadih, po podatkih drugih odzivnih centrov pa naj bi bil obseg izkoriščanja ranljivosti precej večji, kot je bilo prvotno domnevano.
Več