A féreg paraméterei
Felfedezésének ideje: 2004. június 10.
Utolsó frissítés ideje: 2004. június 11.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 15.873 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Általános megjegyzések
IP-címek generálásához sok végrehajtási szálat hoz létre, ami azt eredményezheti, hogy lelassul a számítógép működése. Ez, és a látszólag ok nélküli reboot fontos jelzői a fertőzésnek! A Sasser végleges ellehetetlenítése végett fel kell telepíteni a Microsoft által két hónapja kiadott összegző javítást! A vírus eltávolítása véghezvihető ingyenes, kifejezetten erre a fenyegetésre specializálódott eszközök segítségével is (lásd kapcsolódó linkek, hírek).
Aktiválódása esetén lezajló események
– létrehozza a SkynetNotice mutexet, és kilép, ha ez nem sikerül; így csak egyszer töltődik be a memóriába
– felmásolja magát a Windows könyvtárba lsasss.exe néven
– hozzáadja az lsasss.exe=[Windows]/lsasss.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– ha léteznek, letörli a következő bejegyzéseket a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból: ssgrate.exe, drvsys.exe, Drvddll_exe
– az úgynevezett AbortSystemShutdown API-t használja fel avégett, hogy leállítsa vagy újraindítsa a megfertőzött számítógépet; eközben a következő üzeneteket jeleníti meg:
1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website
4. This is an message from the SkyNet Team for malicious activity prevention
– a 1023-as TCP porton keresztül FTP szerver indít; ezt használja majd fel terjedéséhez
– a Windows API gethostbyname utasításával megszerzi a PC IP-címét
– a féreg által létrehozott IP-címeket a következőképp állítja elő:
. 52 százalékuk teljesen véletlenszerű
. 23 százalékuk első 8 bitje megegyezik a megfertőződött host ezen értékével, a többi véletlenszerű
. a fennmaradó 25 százalékuk első és második 8 bitje is megegyezik a megfertőződött host ezen értékével, a többi véletlenszerű
– figyelmen kívül veszi a következő IP-címeket:
. 127.0.0.1
. 10.x.x.x
. 172.16.x.x – 172.31.x.x
. 192.168.x.x
. 169.254.x.x
– a 445-ös TCP porton csatlakozódik a távoli számítógépekhez, és amennyiben ez sikerrel járt, elküld neki egy shellkódot, amivel eléri, hogy annak 1022-es TCP portjáról visszacsatlakozhat az FTP szerverre
– a fentieket követően átküldésre kerül a féreg másolata, melynek neve egy 4 vagy 5 számjegyből és egy _upload sztringből áll, kiterjesztése pedig EXE lesz (tehát például 74354_up.exe
– az Lsass.exe process összeomlik, miután a féreg kihasználta a Windows LSASS sebezhetőségét; a Windows hibaüzenetet jelez ki, majd egy percen belül leállítja a rendszert
– létrehozza a C meghajtóban az ftplog.txt állományt, mely azokat az IP-címeket tartalmazza, amiket a féreg a leggyakrabban kísérelt megfertőzni, illetve az áldozatul esett PC-k száma is ebbe a file-ba kerül