Červ Sasser je neškodný, ale šíří se prý rychle

Vladimír Stwora

4.5.2004 Technická poradna Témata: Nezařazeno 479 slov

Červ se objevil prvního května. Využívá chyby přetečení bufferu v LSASRV.DLL. Nakazí pouze systémy Windows 2000 a XP. Systémy Windows 95/98/ME sice nemohou být nakaženy, ale mohou být použity k šíření červa - něco jako bacilonosiči. Systémy Linux, Mac OS, DOS, OS/2 jsou vůči tomuto červu odolné, stejně jako starší verze Windows (NT, 3.0).

Červ se dostane dovnitř pouze přes internet. Nešíří se e-maily. Člověk je proti jeho příchodu poměrně bezmocný, protože vše probíhá bez jeho zásahu.

Jakmile se vám červ uhnízdí uvnitř, vytvoří v adresáři Windows soubor Avserve2.exe a přidá automatický start tohoto programu do

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,

což mu zajistí start při příštím restartu systému.

Nastartuje vlastní FTP server na portu 5554. Pak začne náhodně generovat IP adresy. Za účelem generování náhodných čísel odstartuje 128 vláken, což se projeví zřetelným zpomalením systému.

Pro každou čerstvě vytvořenou adresu zkusí, zda port 445 je funkční. Dostane-li kladnou odpověď, otevře TCP port 9996 a odešle paket, který je zvlášť naformátován tak, že využívá chyby ve funkci DsRolerUpgradeDownlevelServer - v podstatě otevře na dálku příkazový řádek. Nyní má plnou kontrolu nad vzdáleným počítačem a mohl by dělat, co je mu libo. Naštěstí se spokojí pouze s tím, že sám sebe odešle na vzdálený počítač. Následně dojde k havárii Lsass.exe a systém bude restartovat.

Jak se mohu bránit?

Používám firewall. Nemám-li žádný, stáhnu si ZoneAlarm, který je nejen dosti robustní, ale i zdarma. Za normálních okolností by všechny porty měly být zavřeny nebo dokonce zvenčí neviditelné. V každém případě si zvlášť pohlídám porty 445, 5554 a 9996. Jak poznám, které porty jsou otevřeny? Otevřu si příkazový řádek a napíši:

netstat -an

Netstat je utilitka, která je součástí Windows. S parametrem -an zobrazí všechny porty, na kterých můj systém "naslouchá". Vzhledem k tomu, že jsem jen obyčejný uživatel Windows a nepoužívám žádné zvláštní servery, jako httpd, ftp apod., mělo by platit, že všechny porty by měly být zavřeny.

Dále si stáhnu a implementuji od Microsoftu záplatu. Najdu ji na adrese www.microsoft.com/technet/security/bulletin/MS04-011.mspx spolu s bližším popisem chyby.

Jak poznám, zda tohoto červa mám?

Systém je zřetelně pomalejší, často a zdánlivě bez příčiny restaruje, zaznamenávám aktivní internetové spojení, ačkoliv zrovna nic nedělám.

Dalším poznávacím znamením je výše popsaný výpis z netstat. Uvidím-li ve výpisu otevřenou některý (nebo všechny) z portů 445, 5554, či 9996, pak je vysoká šance, že červa mám.

A rovněž není na škodu podívat se do svého adresáře Windows, zda se tam náhodou neroztahuje program Avserve2.exe.

Jak se červa zbavím?

Nejlépe tak, že si od firmy Symantec (nebo jiné) stáhnu malý prográmek, který za mě práci udělá víceméně sám. Mám-li Windows XP, musím předtím vypnout System Restore. Jinak hrozí, že mi inteligentní Windows červa automaticky znovu obnoví poté, co jsem se ho zbavil.

Známka 2.3 (hodnotilo 3)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

75

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc leden přispělo 121 čtenářů částkou 26 160 korun, což je 75 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010

IBAN: CZ4720100000002000368066
Ze Slovenska 2000368066/8330
IBAN: SK5883300000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
12vZg7LszAecMsq3wRW4pNpoUAgGZB8aS5

Další možnosti platby ›

Ve zkratce

Lupo Anetta POLITIKA27.01.21 19:29 Česká republika 0

Rusko a USA podepsaly smlouvu START velmi rychle27.01.21 10:07 Neurčeno 1

Čiperka Prymula ukradl tváře herců na soukromou kampaň26.01.21 23:07 Česká republika 1

Vakcína od Astra Zenecy má prý jen 8% účinnost26.01.21 11:16 Německo 10

Poslanci používají legální restauraci, i když to plebsu zakázali25.01.21 17:14 Česká republika 5

Papaláši se chytili do vlastní sítě25.01.21 12:23 Česká republika 7

Začínám rozumět roli Navalného: užitečný idiot by mohl posloužit k zastavení Nord Stream 223.01.21 12:12 Evropská unie 4

Pane Volný, to bylo hloupé21.01.21 17:14 Česká republika 21

Slovenský lekár objednal pre svojich covidových pacientov Ivermectin. Colníci mu zásielku zabavili20.01.21 19:05 Slovensko 4

Na Seznamu se rozmáhá cenzura jako rakovina20.01.21 08:06 Česká republika 8

Sbohem, Kalousku. A zavři za sebou z druhé strany19.01.21 19:17 Česká republika 8

Chcete, aby skončil Lockdown? 26. ledna máte reálnou možnost to změnit19.01.21 10:14 Česká republika 3

Helena Duke poté, co udala vlastní rodinu, žebrá o peníze18.01.21 14:28 USA 3

Satanisté a jejich poskoci mají Vánoce17.01.21 23:15 Česká republika 3

V Norsku po aplikace vakcíny zemřelo 23 lidí a Blatný by chtěl očkovat15.01.21 20:37 Norsko 4

Humorem proti totalitě15.01.21 18:55 Česká republika 1

Fanatismus a nesmiřitelnost – aneb stane se Helena Duke legendou?15.01.21 16:52 USA 1

V protestu před Kapitolem 6. ledna sehráli roli „agenti provokatéři“ – Interview s Michaelem Yonem14.01.21 11:38 USA 2

Luboš Xaver do Českého rozhlasu patří!13.01.21 22:50 Česká republika 1

Zemanovi už doopravdy hrabe, mrzí ho ukončení okupace Afghánistánu13.01.21 18:25 Česká republika 2

Měnové kurzy

USD
21,54 Kč
Euro
26,06 Kč
Libra
29,48 Kč
Kanadský dolar
16,85 Kč
Australský dolar
16,54 Kč
Švýcarský frank
24,23 Kč
100 japonských jenů
20,69 Kč
Čínský juan
3,32 Kč
Polský zloty
5,73 Kč
100 maď. forintů
7,24 Kč
Ukrajinská hřivna
0,76 Kč
100 rublů
28,46 Kč
1 unce (31,1g) zlata
39 746,40 Kč
1 unce stříbra
543,75 Kč
Bitcoin
660 551,53 Kč

Poslední aktualizace: 27.1.2021 19:33 SEČ

Tuto stránku navštívilo 17 457