|
Вирус Sasser лишит мировую экономику 500 миллионов долларов. / May 13, 2004 /Размер ущерба, нанесенного мировой экономике эпидемией вируса Sasser, может достигнуть 500 миллионов долларов. Такого мнения придерживаются эксперты консалтинговой компании Computer Economics, сообщает сайт Silicon.com. При этом специалисты отмечают, что в своих расчетах они не учитывали факт появления самой последней версии вредоносной программы Sasser.f. Текущий год уже стал крайне неблагоприятным в области компьютерной безопасности. По данным разработчиков антивирусного программного обеспечения из британской компании McAfee, вирусная активность за первые четыре месяца 2004 года уже превысила аналогичный показатель за прошлый год в целом. «Sasser лишь последний штрих в череде многочисленных вариаций вирусов. Впервые для обозначения версий вирусов стало не хватать букв латинского алфавита, и теперь появляются вирусы с названиями вроде Bagle.ab», пояснил эксперт McAfee Джек Кларк (Jack Clark). Он также предположил, что ущерб, вызванный эпидемией червя MyDoom, к концу составит 4 миллиарда долларов. Первая версия червя Sasser появилась в интернете 1 мая, а спустя несколько дней полиция Германии задержали 17-летнего Свена Яшана, подозреваемого в создании вредоносной программы. Несмотря на арест Яшана, спустя некоторое время в сети стали появляться новые версии Sasser. Игорь Громов Источник: информационный сайт Silicon.com ################################## Worm.Win32.Sasser.a
Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года. Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows RPC DCOM. Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет. Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2. Признаками заражения компьютера являются: Наличие файла «avserve.exe» в каталоге Windows.
Создает в памяти уникальный идентификатор «Jobaka3l» для определения своего присутствия в системе. Запускает FTP службу на порту TCP 5554 и запускает 128 процедур своего размножения. В ходе работы червь пытается вызвать системную процедуру AbortSystemShutdown для перезагрузки системы. Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя данную уязвимость, запускает на удаленной машине командную оболочку «cmd.exe» на TCP порту 9996. После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела: echo off Таким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например: 23101_up.exe Прочее Червь создает в корневом каталоге диска C: файл «win.log», который содержит IP-адреса атакуемых машин. |
||||||||
|
© Official Site of Research Center for Earth Operative Monitoring (NTS OMZ). Where any materials on this site are republished or copied, the source of the material must be identified. | |||
127490, Moscow, Decabristov st., b.51, h.25
|