Het Sasser-virus +
DataProtex

+ Inleiding
+ DataProtex Kit
+ Algemene voorwaarden
+ Download
+ Save-my-PC
+ Top 10
+ Contact

Members

+ Handleiding
+ Linkregister

Computerbeveiliging

+ Computerbedreiging
+ Netwerkbeveiliging
+ Beveiliging van portables
+ Internetbeveiliging
+ Firewalls
+ Kerngegevens
+ Nieuws

Virus-encyclopedie

+ Aanvallen vanop afstand
+ Virussen
+ Trojanen
+ Logische bommen
+ Spyware
+ Hoaxes
+ Keyloggers
+ Worms
+ Spam
+ Adware

1. Definitie

Het Sasser-virus verscheen voor het eerst in mei 2004 en is eveneens bekend onder de namen W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b en Win32.Sasser. Het virus profiteert van een fout in de LSASS (Local Security Authority Subsystem Service, wat overeenkomt met het uitvoerbare bestand lsass.exe) van Windows. Het eerste virus dat gebruik maakt van de fout in de LSASS van Windows dook op nauwelijks 2 weken na de publicatie van de fout en de beschikbaarstelling van de herstellende software.

De besmette systemen zijn de besturingssystemen Windows NT 4.0, 2000, XP en in mindere mate Windows Server 2003.

2. De werking van het virus

De Sasser-worm is zo geprogrammeerd dat 128 processen (1024 in het geval van de Sasser.C) worden opgestart die willekeurig een heleboel IP-adressen scannen en systemen trachten op te sporen met de fout LSASS op poort 445/TCP.

Het virus installeert een FTP server op poort 5554 zodat het door andere besmette computers kan worden gedownload.

Wanneer een kwetsbare machine is opgespoord, opent de worm op de computer (op poort TCP 9996) een shell op afstand en dwingt de machine vanop afstand een kopie van de worm (voor de variant Sasser.B avserve.exe of avserve2.exe genoemd) te downloaden in de Windows directory.

Eenmaal het bestand is gedownload, maakt het in de directory c:\ een bestand aan met de naam win.log (of win2.log voor de variant Sasser.B.) om het aantal besmette machines te registreren. Daarna creëert het in de registry ingangen om bij elke heropstart opnieuw in werking te kunnen treden:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe
  • ou HKLM\Software\Microsoft\Windows\CurrentVersion\Run avserve.exe -> C:\%WINDIR%\avserve.exe
Het virus roept de functie “AbortSystemShutdown” in om de heropstart (of de desactivering) door de gebruiker of door andere virussen te verhinderen.

3. De besmettingssymptomen

Het misbruik van de fout LSASS veroorzaakt een aantal functiestoornissen op de getroffen systemen, verbonden met de onderbreking van de LSASS (proces lsass.exe).

De kwetsbare systemen vertonen de volgende symptomen:

  • Ongewenst heropstarten, het systeem geeft de volgende boodschap:
    This shutdown was initiated by NT AUTHORITY\SYSTEM.
    The system process C:\WINDOWS\system32\Isass.exe terminated unexpectedly with status code 128.
  • Netwerkverkeer op de poorten TCP 445, 5554 en 9996.
  • Brutale onderbreking van ‘LSASS.EXE’ met de volgende foutmelding: lsass.exe – application error.
4. Het virus verwijderen

De beste methode om het Sasser-virus te verwijderen is in de eerste plaats het systeem beveiligen met een firewall. Onder het besturingssysteem Windows XP volstaat:

Start > Instellingen > Configuratiescherm > Netwerkverbindingen

Klik vervolgens met de rechtermuisknop op de internetverbinding en klik op eigenschappen. Selecteer het tabblad “Geavanceerde parameters” en vink vervolgens het veld aan “Beveilig mijn computer en het netwerk door de toegang tot deze computer vanaf het internet te beperken of te verbieden” en klik op OK.

Nadien updatet u het systeem aan de hand van Windows Update ofwel door uw systeem te updaten met de patch die overeenkomt met uw besturingssysteem:

  • Herstellende patches voor Windows 2000/XP/2003


  • U kunt uiteindelijk het systeem schoonmaken met een verwijderingskit.
    Lijst van verwijderingskits.

    Aangezien het virus zich verspreidt via het netwerk installeert u op uw computer best een persoonlijke firewall, verbonden met het internet, en filtert u best de poorten TCP/445, TCP/5554 en TCP/9996.

    5. Meer informatie

    » Terug naar menu





    © Alle rechten voorbehouden 2004 - Commentca marche.net - Jean-François Pillou

    FR
    NL
    DATAPROTEX - Your computer & Data protection - n.v. Samarkande s.a. - ©Copyright 2006 - General conditions