Legmagasabb szintű vírusriasztás a Sasser miatt

A féreg egy biztonsági rést kihasználva jut be a számítógépre, majd az LSASS.EXE hibájára utalva újraindítja azt, nevezetesen a Microsoft MS04-011 kódjelű sérülékenységét. Ezáltal teljesen automatikusan terjed, és az internethez csatlakoztatott számítógépek véletlenszerűen generált IP című, frissítetlen Windows 2000 és XP rendszereit próbálják megfertőzni. A hiba javítása azóta elérhető a Microsoft oldalain . A Pandánál már számos fertőzésről tudnak, az online Panda ActiveScan által felismert leggyakoribb kártevő.

Fertőzési stratégiája:
A Sasser féreg több egyidejű alkalmazással véletlenszerűen IP címeket generál.Megpróbál csatlakozni ezekhez a gépekhez a 445-ös TCP porton keresztül. Ha sikeresen csatlakozik a géphez, megvizsgálja, hogy azon megtalálható-e az LSASS biztonsági rés. Amennyiben igen, akkor kapcsolatot létesít a géppel a 9996-os TCP porton keresztül, majd az 5554-es TCP porton keresztül letölti magát a kiszemelt gépre. A letöltött példány %szám%_up.exe lesz, ahol %szám% értéke egy véletlenszerűen generált szám.

A fertőzés jelei: a féreg a C:Windows mappába másolja magát avserve.exe néven, valamint létrehoz egy bejegyzést a rendszerleíró adatbázisba, ezzel gondoskodva arról, hogy minden rendszerinduláskor elindulasson a féreg is: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunavserve.exe = %windir%avserve.exe (ahol %windir% az operációs rendszer könyvtára).

Ezután FTP szervert telepít a gépre, majd a megnyitja a 445-ös, 5544-es és 9996-os portokat, és letölti a férget a fertőzött gépre. Mindemellett az internetre történő csatlakozás során újraindítja a gépet.

A legtöbb cég víruslaborja a vírus felbukkanása után azonnal elemezte a vírust és elkészítette az ellenszert. A Panda Software szakemberei a megfertőződött felhasználóknak is nyújtanak azonnali, ingyenes megoldást, a Panda Software Hungary hivatalos weboldalán található ActiveScan letöltésével és futtatásával, amellyel fertőtleníthetik számítógépeiket.