Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 
4-05-04 10:53
Crv "Sasser" i njegove varijante

piše DAMIR GLAVAČ

Zadnjih nekoliko dana Internetom kruži crv Sasser u različitim oblicima, pa nije na odmet još jednom ponoviti upute kako se efikasno zaštititi. Sama fizička interpretacija ovog crva slična je nedavnom Blasteru, jer kod inficiranih računala dolazi do poruke o resetiranju računala u roku od 60 sekundi:

"The system process C:\Windows\system32\Isass.exe terminated unexpectedly with status code -073741819. The system will now shut down and restart"

 

Ovaj virus iskorištava propust u Local Security Authority Subsystem Service (LSASS) koji je ispravljen u Security Updateu Microsoft Security Bulletin MS04-011. Znači da korisnici koji su već imali instaliranu zakrpu na svojim računalima ne bi trebali imati problema sa ovim crvom.

 

Sasser kreira sljedeće datoteke:

• AVSERVE.EXE u Windows direktoriju. Taj file je kopija crva.

• WIN.LOG na disku C:. Taj file sadržava IP adresu zaraženog računala.

 

Sasser kreira sljedeće ključeve u Windows registryu:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run avserve.exe = c:\windows direktorij\avserve.exe

Time se omogućava njegovo pokretanje pri podizanju Windowsa

 

Crv za svoje širenje želi iskoristiti tri porta:

 

445 port za spajanje na udaljena računala,

5554 tim portom se instalira na računalo korištenjem FTP-a

9996 šalje naredbe za daljnje širenje

 

Sistemi koji mogu biti zaraženi su Windows 2000 i XP. Računala sa starijim operacijskim sustavima kao što su Win95/98/Me nisu pogođena ovim virusom iako mogu biti nositelji s kojih se crv dalje širi.

Preventivne metode protiv ovog crva:

 

1. Uključite firewall kako biste onemogućili malicioznim programima da Vam se nasele u računalo. Omogućite pristup na Vaše računalo samo sa nužno potrebnih adresa ili portova.

2. Instalirajte preporučenu Microsoftovu zakrpu, te naravno sve ostale dostupne zakrpe.

3. Imajte Vaš antivirusni program stalno sa zadnjom dostupnom verzijom te svim naknadno dodanim datotekama.

 

Antivirusne tvrtke nude besplatne alate za uklanjanje ovog crva. Možete ih pronaći na sljedećim linkovima:

 

http://www.sophos.com/support/cleaners/sassgui.com

http://securityresponse.symantec.com/avcenter/FxSasser.exe

 


[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to sys-portal@CARNet.hr