PEGGIO DEL PREVISTO
-------------------
La diffusione di una nuova variante di Sasser, worm emerso nel weekend che ora intraprende nuove strade, viene segnalata in grande aumento in mezzo mondo, Italia compresa.
Gli osservatori antivirus, che posizionano a livello medio l'attenzione per il primo Sasser, hanno gia' elevato Sasser.B a livello di allerta elevata.
COME FUNZIONA
-------------
Sasser.B e' un worm insidioso capace di colpire WindowsXP, Windows2000 e Windows2003 Server sfruttando una vulnerabilita' di questi sistemi operativi di cui esiste da tempo la cura. Al contrario di altri worm, Sasser e Sasser.B si diffondono scansionando le reti a caccia di computer vulnerabili: se trovano una macchina che puo' essere attaccata l'attaccano subito e vi si installano.
Sasser.B non provoca guasti permanenti alle macchine in quanto il suo scopo e' prima di tutto quello di mandarle in crash spingendo il sistema operativo a riavviarsi piu' volte.
Sul piano tecnico, Sasser.B:
1 - modifica il registro di Windows per assicurarsi di essere avviato ad ogni riavvio del sistema operativo
2 - disabilita l'interfaccia di spegnimento del computer (Standby-Spegni-Riavvia) in modo da mascherare piu' facilmente le operazioni di riavvio del computer
3 - attiva un server FTP sulla porta TCP 5554, un'opzione che consente al worm di spedire se stesso ad altri computer vulnerabili
4 - sulla porta TCP 445, Sasser.B tenta di connettersi ad una serie di indirizzi IP casuali: se ci riesce allora invia del codice alla macchina contattata per spingerla ad attivare una shell sulla porta TCP 996, attraverso cui il computer si connette al server FTP della macchina infetta e scarica una copia del worm. Il suo nome e' composto da 4 o 5 caratteri seguiti da _up.exe
COME FERMARLO
-------------
Gli utenti dei sistemi operativi colpiti dovrebbero gia' avere aggiornato il proprio Windows ma chi non lo avesse fatto puo' procedere a partire dalla pagina Web messa a punto da Microsoft per descrivere e curare la vulnerabilita' sfruttata da Sasser e Sasser.B:
http://www.microsoft.com/technet/securi ... 4-011.mspxLa stessa Microsoft ha messo a disposizione un sistema di scansione per vedere direttamente online se si e' colpiti da Sasser:
http://www.microsoft.com/security/incident/sasser.asp E' FINITA QUI?
--------------
Da alcune ore gia' circola una versione C di Sasser che, come e' successo in passato, potrebbe provocare nuovi danni soprattutto se i computer vulnerabili non vengono sistemati immediatamente. E' dunque buona norma, dopo essersi accertati di non essere infetti, procedere subito all'installazione delle patch.
ULTERIORI INFORMAZIONI
----------------------
Tra i primi a fornire le informazioni piu' dettagliate sul funzionamento di Sasser.B c'e' Trend Micro che ha messo a disposizione una pagina web in inglese che propone anche alcuni consigli sulla rimozione del worm e sulla prevenzione dai suoi futuri assalti:
http://www.trendmicro.com/vinfo/virusen ... M_SASSER.BIl Symantec Security Response ha invece messo a disposizione un tool per la rimozione di Sasser.B:
http://securityresponse.symantec.com/av ... .tool.htmlPunto Informatico ha pubblicato nelle scorse ore un articolo sulla diffusione della prima variante di Sasser, disponibile qui:
http://punto-informatico.it/p.asp?i=48024