Sasser. worm

[Affus]

SalvaPC News - sicurezza per tutti N. 91 di lunedi' 3 maggio 2004
>
> Supplemento a Punto Informatico
> ----------------------------------------------------------------------
>
> PEGGIO DEL PREVISTO
> -------------------
>
> La diffusione di una nuova variante di Sasser, worm emerso nel weekend
> che ora intraprende nuove strade, viene segnalata in grande aumento in
> mezzo mondo, Italia compresa. Gli osservatori antivirus, che posizionano
> a livello medio l'attenzione per il primo Sasser, hanno gia' elevato
> Sasser.B a livello di allerta elevata.
>
> COME FUNZIONA
> -------------
>
> Sasser.B e' un worm insidioso capace di colpire WindowsXP, Windows2000 e
> Windows2003 Server sfruttando una vulnerabilita' di questi sistemi
> operativi di cui esiste da tempo la cura. Al contrario di altri worm,
> Sasser e Sasser.B si diffondono scansionando le reti a caccia di
> computer vulnerabili: se trovano una macchina che puo' essere attaccata
> l'attaccano subito e vi si installano.
>
> Sasser.B non provoca guasti permanenti alle macchine in quanto il suo
> scopo e' prima di tutto quello di mandarle in crash spingendo il sistema
> operativo a riavviarsi piu' volte.
>
> Sul piano tecnico, Sasser.B:
> 1 - modifica il registro di Windows per assicurarsi di essere avviato ad
> ogni riavvio del sistema operativo
>
> 2 - disabilita l'interfaccia di spegnimento del computer
> (Standby-Spegni-Riavvia) in modo da mascherare piu' facilmente le
> operazioni di riavvio del computer
>
> 3 - attiva un server FTP sulla porta TCP 5554, un'opzione che consente
> al worm di spedire se stesso ad altri computer vulnerabili
>
> 4 - sulla porta TCP 445, Sasser.B tenta di connettersi ad una serie di
> indirizzi IP casuali: se ci riesce allora invia del codice alla macchina
> contattata per spingerla ad attivare una shell sulla porta TCP 996,
> attraverso cui il computer si connette al server FTP della macchina
> infetta e scarica una copia del worm. Il suo nome e' composto da 4 o 5
> caratteri seguiti da _up.exe
>
> COME FERMARLO
> -------------
>
> Gli utenti dei sistemi operativi colpiti dovrebbero gia' avere
> aggiornato il proprio Windows ma chi non lo avesse fatto puo' procedere
> a partire dalla pagina Web messa a punto da Microsoft per descrivere e
> curare la vulnerabilita' sfruttata da Sasser e Sasser.B:
> http://www.microsoft.com/technet/sec.../MS04-011.mspx
>
> La stessa Microsoft ha messo a disposizione un sistema di scansione per
> vedere direttamente online se si e' colpiti da Sasser:
> <http://www.microsoft.com/security/incident/sasser.asp>
> http://www.microsoft.com/security/incident/sasser.asp
> <http://www.microsoft.com/security/incident/sasser.asp>
> <http://www.microsoft.com/security/incident/sasser.asp> E' FINITA QUI?
> <http://www.microsoft.com/security/incident/sasser.asp> --------------
> <http://www.microsoft.com/security/incident/sasser.asp>
> <http://www.microsoft.com/security/incident/sasser.asp> Da alcune ore
> gia' circola una versione C di Sasser che, come e' successo in passato,
> potrebbe provocare nuovi danni soprattutto se i computer vulnerabili non
> vengono sistemati immediatamente. E' dunque buona norma, dopo essersi
> accertati di non essere infetti, procedere subito all'installazione
> delle patch.
> <http://www.microsoft.com/security/incident/sasser.asp>
> <http://www.microsoft.com/security/incident/sasser.asp> ULTERIORI
> INFORMAZIONI
> <http://www.microsoft.com/security/incident/sasser.asp>
> ----------------------
> <http://www.microsoft.com/security/incident/sasser.asp>
> <http://www.microsoft.com/security/incident/sasser.asp> Tra i primi a
> fornire le informazioni piu' dettagliate sul funzionamento di Sasser.B
> c'e' Trend Micro che ha messo a disposizione una pagina web in inglese
> che propone anche alcuni consigli sulla rimozione del worm e sulla
> prevenzione dai suoi futuri assalti:
> http://www.trendmicro.com/vinfo/viru...VName=WORM_SAS
> SER.B
>
> <http://www.trendmicro.com/vinfo/viru...?VName=WORM_SA
> SSER.B>
>
> <http://www.trendmicro.com/vinfo/viru...?VName=WORM_SA
> SSER.B> Il Symantec Security Response ha invece messo a disposizione un
> tool per la rimozione di Sasser.B:
> http://securityresponse.symantec.com...2.sasser.remov
> al.tool.html
>
> <http://securityresponse.symantec.com...32.sasser.remo
> val.tool.html>
>
> <http://securityresponse.symantec.com...32.sasser.remo
> val.tool.html> Punto Informatico ha pubblicato nelle scorse ore un
> articolo sulla diffusione della prima variante di Sasser, disponibile
> qui: http://punto-informatico.it/p.asp?i=48024
> <http://punto-informatico.it/p.asp?i=48024>
> <http://punto-informatico.it/p.asp?i=48024>
> ----------------------------------------------------------------------
> <http://punto-informatico.it/p.asp?i=48024> SalvaPC News
> <http://punto-informatico.it/p.asp?i=48024> supplemento di Punto
> Informatico (http://punto-informatico.it)
> <http://punto-informatico.it/>
> <http://punto-informatico.it/> email: redazione@s...
> <http://punto-informatico.it/> Url: http://salvapc.com/
> <http://salvapc.com/>
> ----------------------------------------------------------------------
> <http://salvapc.com/>
> <http://salvapc.com/>
> <http://salvapc.com/>
> <http://salvapc.com/>
>
>
> [Sono state eliminare la parti non di testo del messaggio]

[Affus]

In origine postato da Affus
SalvaPC News - sicurezza per tutti N. 91 di lunedi' 3 maggio 2004
>
> Supplemento a Punto Informatico
> ----------------------------------------------------------------------
>
> PEGGIO DEL PREVISTO
> -------------------
>
> La diffusione di una nuova variante di Sasser, worm emerso nel weekend
> che ora intraprende nuove strade, viene segnalata in grande aumento in
> mezzo mondo, Italia compresa. Gli osservatori antivirus, che posizionano
> a livello medio l'attenzione per il primo Sasser, hanno gia' elevato
> Sasser.B a livello di allerta elevata.
>
> COME FUNZIONA
> -------------
>
> Sasser.B e' un worm insidioso capace di colpire WindowsXP, Windows2000 e
> Windows2003 Server sfruttando una vulnerabilita' di questi sistemi
> operativi di cui esiste da tempo la cura. Al contrario di altri worm,
> Sasser e Sasser.B si diffondono scansionando le reti a caccia di
> computer vulnerabili: se trovano una macchina che puo' essere attaccata
> l'attaccano subito e vi si installano.
>
> Sasser.B non provoca guasti permanenti alle macchine in quanto il suo
> scopo e' prima di tutto quello di mandarle in crash spingendo il sistema
> operativo a riavviarsi piu' volte.
>
> Sul piano tecnico, Sasser.B:
> 1 - modifica il registro di Windows per assicurarsi di essere avviato ad
> ogni riavvio del sistema operativo
>
> 2 - disabilita l'interfaccia di spegnimento del computer
> (Standby-Spegni-Riavvia) in modo da mascherare piu' facilmente le
> operazioni di riavvio del computer
>
> 3 - attiva un server FTP sulla porta TCP 5554, un'opzione che consente
> al worm di spedire se stesso ad altri computer vulnerabili
>
> 4 - sulla porta TCP 445, Sasser.B tenta di connettersi ad una serie di
> indirizzi IP casuali: se ci riesce allora invia del codice alla macchina
> contattata per spingerla ad attivare una shell sulla porta TCP 996,
> attraverso cui il computer si connette al server FTP della macchina
> infetta e scarica una copia del worm. Il suo nome e' composto da 4 o 5
> caratteri seguiti da _up.exe
>
> COME FERMARLO
> -------------
>
> Gli utenti dei sistemi operativi colpiti dovrebbero gia' avere
> aggiornato il proprio Windows ma chi non lo avesse fatto puo' procedere
> a partire dalla pagina Web messa a punto da Microsoft per descrivere e
> curare la vulnerabilita' sfruttata da Sasser e Sasser.B:
> http://www.microsoft.com/technet/sec.../MS04-011.mspx
>
> La stessa Microsoft ha messo a disposizione un sistema di scansione per
> vedere direttamente online se si e' colpiti da Sasser:
> <http://www.microsoft.com/security/incident/sasser.asp>
> http://www.microsoft.com/security/incident/sasser.asp
> <http://www.microsoft.com/security/incident/sasser.asp>
> <http://www.microsoft.com/security/incident/sasser.asp> E' FINITA QUI?
> <http://www.microsoft.com/security/incident/sasser.asp> --------------
> <http://www.microsoft.com/security/incident/sasser.asp>
> <http://www.microsoft.com/security/incident/sasser.asp> Da alcune ore
> gia' circola una versione C di Sasser che, come e' successo in passato,
> potrebbe provocare nuovi danni soprattutto se i computer vulnerabili non
> vengono sistemati immediatamente. E' dunque buona norma, dopo essersi
> accertati di non essere infetti, procedere subito all'installazione
> delle patch.
> <http://www.microsoft.com/security/incident/sasser.asp>
> <http://www.microsoft.com/security/incident/sasser.asp> ULTERIORI
> INFORMAZIONI
> <http://www.microsoft.com/security/incident/sasser.asp>
> ----------------------
> <http://www.microsoft.com/security/incident/sasser.asp>
> <http://www.microsoft.com/security/incident/sasser.asp> Tra i primi a
> fornire le informazioni piu' dettagliate sul funzionamento di Sasser.B
> c'e' Trend Micro che ha messo a disposizione una pagina web in inglese
> che propone anche alcuni consigli sulla rimozione del worm e sulla
> prevenzione dai suoi futuri assalti:
> http://www.trendmicro.com/vinfo/viru...VName=WORM_SAS
> SER.B
>
> <http://www.trendmicro.com/vinfo/viru...?VName=WORM_SA
> SSER.B>
>
> <http://www.trendmicro.com/vinfo/viru...?VName=WORM_SA
> SSER.B> Il Symantec Security Response ha invece messo a disposizione un
> tool per la rimozione di Sasser.B:
> http://securityresponse.symantec.com...2.sasser.remov
> al.tool.html
>
> <http://securityresponse.symantec.com...32.sasser.remo
> val.tool.html>
>
> <http://securityresponse.symantec.com...32.sasser.remo
> val.tool.html> Punto Informatico ha pubblicato nelle scorse ore un
> articolo sulla diffusione della prima variante di Sasser, disponibile
> qui: http://punto-informatico.it/p.asp?i=48024
> <http://punto-informatico.it/p.asp?i=48024>
> <http://punto-informatico.it/p.asp?i=48024>
> ----------------------------------------------------------------------
> <http://punto-informatico.it/p.asp?i=48024> SalvaPC News
> <http://punto-informatico.it/p.asp?i=48024> supplemento di Punto
> Informatico (http://punto-informatico.it)
> <http://punto-informatico.it/>
> <http://punto-informatico.it/> email: redazione@s...
> <http://punto-informatico.it/> Url: http://salvapc.com/
> <http://salvapc.com/>
> ----------------------------------------------------------------------
> <http://salvapc.com/>
> <http://salvapc.com/>
> <http://salvapc.com/>
> <http://salvapc.com/>
>
>
> [Sono state eliminare la parti non di testo del messaggio]

la microsoft ha stanziato una grossa taglia a chi becca l'inventore di questo virus

[Drieu (POL)]

Ingenuo!
Sono gli stessi ebrei a creare questo virus, per poi diffondere la "patch", con cui, sì si elimina il virus, ma si installa altresì un programma con cui i giudei possono controllarvi.

[Otto Rahn]

In origine postato da Drieu
Ingenuo!
Sono gli stessi ebrei a creare questo virus, per poi diffondere la "patch", con cui, sì si elimina il virus, ma si installa altresì un programma con cui i giudei possono controllarvi.

Lo sai che non hai tutti i torti?
Ora se siano tutti giudei questi maledetti untori non lo so
comunque é probabile considerando ad esempio che il vice di Bill Gates é un juden;
e chi piu della Microsoft é responsabile delle falle mostruose di sicurezza nei sistemi?

[Jozif]

Piove ancora oggi, second me è colpa degli ebrei, che dite?

[Affus]

In origine postato da Drieu
Ingenuo!
Sono gli stessi ebrei a creare questo virus, per poi diffondere la "patch", con cui, sì si elimina il virus, ma si installa altresì un programma con cui i giudei possono controllarvi.

non c'è che dire , lo devi amettere , sono proprio in gamba .
e noi stiamo sempre dalla parte di gente i gamba .

[Shambler]

Utilizzano il nostro pelo setoloso per pulire i vetri e noi ne siamo fieri.

[mid]http://www.zooish.com/we_world.mid[/mid]

[Vikkk]

Questi rottiniculo che fanno i virus e incasinano i PC altrui bisognerebbe lasciarli appesi qualche giorno per i testicoli, vedi come cambiano idea...

[I'm Hate]

Usate linux

Il sistema di B.Gates fa cagare.
Crasha,e' lento,pieno di bugs(alcuni ancora irrisolti da mesi)
troppo esposto ai virus,costoso.

Per iniziare una buona mandrake

dovrebbe andare bene.

[Vikkk]

In origine postato da I'm Hate
Usate linux

Il sistema di B.Gates fa cagare.
Crasha,e' lento,pieno di bugs(alcuni ancora irrisolti da mesi)
troppo esposto ai virus,costoso.

Per iniziare una buona mandrake

dovrebbe andare bene.

Chi è che produce Linux? non mi intendo molto di ste robe...