Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 
3-05-04 10:57
Obavijest o crvima W32/Sasser-A i W32/Sasser-B

piše QUBIS

Postovani,

 

Sophos Plc obavijestio nas je o pojacanoj aktivnosti crva W32/Sasser-A i

W32/Sasser-B za koje je primio veci broj prijava. Qubis d.o.o. je do ovoga

trenutka primio manji broj prijava otkrivanja ovih crva medju korisnicima u

Hrvatskoj i Bosni i Hercegovini.

 

Crve W32/Sasser-A i W32/Sasser-B prepoznavat ce Sophos Anti-Virus za lipanj 2004. (v.3.82).

 

Instalacije svih korisnika koji koriste EMLibrary, Sophosov alat za

automatizirano dogradjivanje putem Interneta, dogradjene su automatski

tijekom 1. svibnja, kada je objavljena prva verzija ove dogradnje, ako je

sustav namjesten na obnovu 24 puta dnevno, sto je nasa preporuka.

 

Svim korisnicima preporucujemo da, ako vec nisu, svoje programe Sophos

Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovih crva, koju mozete naci na adresi: http://www.sophos.com/downloads/ide.

 

W32/Sasser-A i W32/Sasser-B su crvi koji se sire iskoristavanjem Microsoft

LSASS sigurnosnog propusta. Microsoft je objavio zakrpu koja uklanja ovaj

propust, a ista se moze pronaci pod oznakom MS04-011 (KB835732).

 

Jednom aktivni, crvi se kopiraju u Windows direktorij u obliku datoteke s

imenom avserve.exe (avserve2.exe), te kreiraju slijedeći registry kljuc:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve2.exe

 

W32/Sasser-A i W32/Sasser-B pokusavaju spajanje na port TCP/9996 i TCP/445, iskoristavaju LSASS sigurnosni propust, te inicira download i izvrsavanje FTP skripte koja putem porta 5554 pokusava download kopije crva.

 

Vise detalja mozete pronaci na sljedecim stranicama:

 

http://www.sophos.com/virusinfo/analyses/w32sassera.html

http://www.sophos.com/virusinfo/analyses/w32sasserb.html

http://www.sophos.com/virusinfo/articles/sasser.html

 

Podatke o sigurnosnoj zakrpi mozete pronaci na sljedecoj stranici:

 

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

 

Zagreb, 03. svibnja 2004.

S postovanjem,

Odjel tehnicke podrske

-------------------------------------

Qubis d.o.o., Nova cesta 1, Zagreb, Croatia

Tel: ++385-1-3091-461 Fax: ++385-1-3091-294

E-mail: qubis@qubis.hr URL: http://www.qubis.hr

E-mail za tehnicku podrsku: podrska@qubis.hr

------------------------------------


[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to sys-portal@CARNet.hr