Május 1-én bukkant fel egy új, igen gyorsan terjedő féreg a Sasser. A szakemberek magas szintű fertőzés veszélyességi
Fertőzési stratégia:
A Sasser féreg több egyidejű alkalmazással véletlenszerűen IP címeket generál.
Megpróbál csatlakozni ezekhez a gépekhez a 445-ös TCP porton keresztül. Ha sikeresen csatlakozik a géphez, megvizsgálja, hogy azon megtalálható-e az LSASS biztonsági rés. Amennyiben igen, akkor kapcsolatot létesít a géppel a 9996-os TCP porton keresztül, majd az 5554-es TCP porton keresztül letölti magát a kiszemelt gépre. A letöltött példány %szám%_up.exe lesz, ahol %szám% értéke egy véletlenszerűen generált szám.
A FigyelőNet kérdésére a Panda Software szakemberei elmondták, hogy a féreg egy biztonsági rést kihasználva jut be a gépbe, majd az LSASS.EXE hibájára utalva rendszeresen újraindítja számítógépet.
A fertőzés jelei
Runavserve.exe = %windir%avserve.exe, ahol %windir% az operációs rendszer könyvtára.) Ezután FTP szervert telepít a gépre, majd a megnyitja a 445-ös, 5544-es és 9996-os portokat, és letölti a férget a fertőzött gépre. Mindemellett az Internetre történő csatlakozás során újraindítja a gépet.
Eltávolításához továbbá szükséges letölteni a Microsoft weboldaláról az MS által kiadott biztonsági frissítést: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
A Panda Software mindenki számára ingyenes eltávolító eszközt kínál a féreg ellen, amely az alábbi linkről letölthető:
http://www.pandasoftware.com/download/utilities/validacion.aspx?CodigoProducto=12&TipoUsuario=2&TipoLead=2&Tipo=5&DocID=Z88&Ref=WW-DES-PQR&Idioma=2
A további fertőzés elkerülése végett a szakemberek javasolják a 135-ös port bezárását egy esetleges tűzfalon.
