|
|
|
|
|
Sasser.A - robak wykorzystujący błąd w
systemie Windows
Sasser jest robakiem internetowym, wykorzystującym do
rozprzestrzeniania się błąd w systemie Windows opisany w biuletynie Microsoftu
MS04-011.
Robak tworzy swoją kopię na dysku w pliku avserve.exe oraz
modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym
starcie systemu Windows. Robak uruchamia również na zainfekowanej maszynie serwer FTP
działający na porcie 5554.
Następnie robak łączy się z komputerami, który
adresy IP wybiera losowo. Jeżeli komputery te działają pod kontrolą jednego z
następujących systemów: Windows NT/2000/XP/2003 Server oraz nie są zabezpieczone
odpowiednią łatą robak, łącząc się przez port 445 ze zdalnym komputerem,
uruchamia kod powodujący pobranie kopii robaka z atakującego komputera z
uruchomionym serwerem FTP. Pobrane kopie zapisywane są na dysku w plikach o
nazwie [4-5 losowych cyfr]_up.exe
Działanie robaka może objawiać się dużym
spowolnieniem działania systemu Windows.
Aby usunąć robaka należy pobrać i
zainstalować łatę ze strony Microsoftu, a następnie po uruchomieniu komputera w
trybie awaryjnym usunąć plik avserve.exe oraz pliki [4-5 losowych
cyfr]_up.exe.
Tekst: MKS Sp. z o.o.
Sobig.F - nowa odmiana znanego robaka
Również znany jako: Worm.Sobig.F
Sobig.F jest
nową odmianą znanego robaka rozsyłającego swoje kopie za pomocą poczty
elektronicznej.
Zwykle robak pojawia się w komputerze ofiary w postaci
załącznika do listu elektronicznego o następujących parametrach:
Temat:
[jeden z poniższych]
Re: That movie
Re: Wicked screensaver
Re: Your
application
Re: Approved
Re: Re: My details
Re: Details
Your
details
Thank you!
Treść: [jedna z poniższych]
Please see the attached
file for details.
See the attached file for details
Załącznik: [jeden z
poniższych]
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Uwaga ! adres nadawcy wiadomości zawierającej robaka wybierany jest losowo
przez robaka, podobnie jak adres odbiorcy. Zatem otrzymanie listu z robakiem nie
oznacza bynajmniej, że adres znajdujący się w polu nadawcy należy do
zainfekowanego użytkownika.
Po uruchomieniu przez użytkownika pliku
załącznika robak tworzy na dysku swoją kopię w pliku winppr32.exe oraz
modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie
systemu Windows.
W kolejnym etapie swego działanie robak rozprzestrzenia się
w sieci lokalnej starając się stworzyć swoje kopie na innych komputerach w
następujących katalogach, jeżeli są dostępne do zapisu:
c:\Windows\All
Users\Start Menu\Programs\StartUp
c:\Documents and Settings\All Users\Start
Menu\Programs\Startup
Na koniec robak rozsyła własne kopie za pomocą poczty
elektronicznej do wszystkich adresatów znalezionych w plikach z rozszerzeniami
wab, dbx, htm, html, eml, txt.
Sobig.F jest wykrywany oprogramowaniem mks_vir
z bazą wirusów z dnia 2003-08-19 i nowszymi.
Tekst: MKS Sp. z
o.o. |
