Hiába tartóztatták le a Sasser féregvírus íróját?

A féreg paraméterei

Felfedezésének ideje: 2004. május 10.
Utolsó frissítés ideje: 2004. május 11.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 74.752 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: magas
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Általános megjegyzések

IP-címek generálásához 128 végrehajtási szálat hoz létre, ami azt eredményezheti, hogy lelassul a számítógép működése. Ez, és a látszólag ok nélküli reboot fontos jelzői a fertőzésnek! A Sasser végleges ellehetetlenítése végett fel kell telepíteni a Microsoft által egy hónapja kiadott összegző javítást!

Aktiválódása esetén lezajló események

– létrehozza a billgate mutexet, és kilép, ha ez nem sikerül; így csak egyszer töltődik be a memóriába
– felmásolja magát a Windows könyvtárba napatch.exe néven
– hozzáadja az napatch.exe=[Windows]/napatch.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– az úgynevezett AbortSystemShutdown API-t használja fel avégett, hogy leállítsa vagy újraindítsa a megfertőzött számítógépet
– a 5554-es TCP porton keresztül FTP szerver indít; ezt használja majd fel terjedéséhez
– a Windows API gethostbyname utasításával megszerzi a PC IP-címét
– a féreg által létrehozott IP-címeket a következőképp állítja elő:
. 52 százalékuk teljesen véletlenszerű
. 23 százalékuk első, második és harmadik is 8 bitje megegyezik a megfertőződött host ezen értékével, a többi véletlenszerű
. a fennmaradó 25 százalékuk első és második 8 bitje is megegyezik a megfertőződött host ezen értékével, a többi véletlenszerű
– figyelmen kívül veszi a következő IP-címeket:
. 127.0.0.1
. 10.x.x.x
. 172.16.x.x – 172.31.x.x
. 192.168.x.x
. 169.254.x.x
– a 445-ös TCP porton csatlakozódik a távoli számítógépekhez, és amennyiben ez sikerrel járt, elküld neki egy shellkódot, amivel eléri, hogy annak 9996-os TCP portjáról visszacsatlakozhat az FTP szerverre
– a fentieket követően átküldésre kerül a féreg másolata, melynek neve egy 4 vagy 5 számjegyből és egy _up sztringből áll, kiterjesztése pedig EXE lesz (tehát például 74354_up.exe
– az Lsass.exe process összeomlik, miután a féreg kihasználta a Windows LSASS sebezhetőségét; a Windows hibaüzenetet jelez ki, majd egy percen belül leállítja a rendszert
– létrehozza a C meghajtóban az win2.log állományt, mely azokat az IP-címeket tartalmazza, amiket a féreg a leggyakrabban kísérelt megfertőzni, illetve az áldozatul esett PC-k száma is ebbe a file-ba kerül