Červ Sasser je neškodný, ale šíří se prý rychle

Vladimír Stwora

4.5.2004 Technická poradna Témata: Nezařazeno 479 slov

Červ se objevil prvního května. Využívá chyby přetečení bufferu v LSASRV.DLL. Nakazí pouze systémy Windows 2000 a XP. Systémy Windows 95/98/ME sice nemohou být nakaženy, ale mohou být použity k šíření červa - něco jako bacilonosiči. Systémy Linux, Mac OS, DOS, OS/2 jsou vůči tomuto červu odolné, stejně jako starší verze Windows (NT, 3.0).

Červ se dostane dovnitř pouze přes internet. Nešíří se e-maily. Člověk je proti jeho příchodu poměrně bezmocný, protože vše probíhá bez jeho zásahu.

Jakmile se vám červ uhnízdí uvnitř, vytvoří v adresáři Windows soubor Avserve2.exe a přidá automatický start tohoto programu do

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,

což mu zajistí start při příštím restartu systému.

Nastartuje vlastní FTP server na portu 5554. Pak začne náhodně generovat IP adresy. Za účelem generování náhodných čísel odstartuje 128 vláken, což se projeví zřetelným zpomalením systému.

Pro každou čerstvě vytvořenou adresu zkusí, zda port 445 je funkční. Dostane-li kladnou odpověď, otevře TCP port 9996 a odešle paket, který je zvlášť naformátován tak, že využívá chyby ve funkci DsRolerUpgradeDownlevelServer - v podstatě otevře na dálku příkazový řádek. Nyní má plnou kontrolu nad vzdáleným počítačem a mohl by dělat, co je mu libo. Naštěstí se spokojí pouze s tím, že sám sebe odešle na vzdálený počítač. Následně dojde k havárii Lsass.exe a systém bude restartovat.

Jak se mohu bránit?

Používám firewall. Nemám-li žádný, stáhnu si ZoneAlarm, který je nejen dosti robustní, ale i zdarma. Za normálních okolností by všechny porty měly být zavřeny nebo dokonce zvenčí neviditelné. V každém případě si zvlášť pohlídám porty 445, 5554 a 9996. Jak poznám, které porty jsou otevřeny? Otevřu si příkazový řádek a napíši:

netstat -an

Netstat je utilitka, která je součástí Windows. S parametrem -an zobrazí všechny porty, na kterých můj systém "naslouchá". Vzhledem k tomu, že jsem jen obyčejný uživatel Windows a nepoužívám žádné zvláštní servery, jako httpd, ftp apod., mělo by platit, že všechny porty by měly být zavřeny.

Dále si stáhnu a implementuji od Microsoftu záplatu. Najdu ji na adrese www.microsoft.com/technet/security/bulletin/MS04-011.mspx spolu s bližším popisem chyby.

Jak poznám, zda tohoto červa mám?

Systém je zřetelně pomalejší, často a zdánlivě bez příčiny restaruje, zaznamenávám aktivní internetové spojení, ačkoliv zrovna nic nedělám.

Dalším poznávacím znamením je výše popsaný výpis z netstat. Uvidím-li ve výpisu otevřenou některý (nebo všechny) z portů 445, 5554, či 9996, pak je vysoká šance, že červa mám.

A rovněž není na škodu podívat se do svého adresáře Windows, zda se tam náhodou neroztahuje program Avserve2.exe.

Jak se červa zbavím?

Nejlépe tak, že si od firmy Symantec (nebo jiné) stáhnu malý prográmek, který za mě práci udělá víceméně sám. Mám-li Windows XP, musím předtím vypnout System Restore. Jinak hrozí, že mi inteligentní Windows červa automaticky znovu obnoví poté, co jsem se ho zbavil.

Známka 2.3 (hodnotilo 3)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

44

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc listopad přispělo 108 čtenářů částkou 13 293 korun, což je 44 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010
Ze Slovenska 2000368066/8330
IBAN: CZ4720100000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
165eUVffx5CuUNwr12JbqqZi6AtrbN22Y7
Další možnosti platby › Související články ›

Ve zkratce

Petr Hannig: Agentura STEM/MARK mě výrazně poškodila23.11.17 19:12 Česká republika 0

iDnes šíří prokazatelné fake news!23.11.17 11:57 Česká republika 4

Jak funguje MMF22.11.17 10:28 Neurčeno 0

Učitel suspendován poté, co oslovil transgendera jako dívku20.11.17 11:33 Británie 6

Šéf Pirátů: Chceme jenom změnit poměry, aby odpovídaly západní Evropě19.11.17 11:21 Česká republika 0

17. listopad - panoptikum na Václaváku financoval Soros, oligarchové Tomáš a Karel Janečkovi a jejich kámoš Winkler18.11.17 12:00 Česká republika 1

17. litopad - varování před "diktaturou referend" 18.11.17 11:33 Česká republika 3

Dohoda KGB a CIA. Dělení majetku a moci. Schůzka Havla a Sorose v roce 1986 na ambasádě USA v Praze17.11.17 15:08 Česká republika 4

Neatraktivní ženy si stěžují, že je nikdo sexuálně neobtěžoval. Rozjely kampaň Why not me17.11.17 11:13 Neurčeno 7

Lana Lokteff - Proč nechci být menšinou16.11.17 21:33 Neurčeno 5

Šašek Hradílek vydírá Zemana hladovkou16.11.17 12:14 Česká republika 12

Dva články z dnešních novin16.11.17 10:57 Neurčeno 3

Otec sedmi dětí se stal šestiletou holčičkou16.11.17 01:42 Kanada 3

Vánoční trhy se v Rakousku i Německu mění 16.11.17 00:44 Německo 4

EU ruší Dublin a chce brát trvale i ekonomické migranty z Afriky15.11.17 23:14 Evropská unie 3

Jurečka a chemická lobby: Glyfosát15.11.17 08:28 Evropská unie 4

Francie řeší přibývající sebevraždy policistů14.11.17 23:41 Francie 2

Šťastná nálezkyně13.11.17 21:09 Česká republika 1

Jiný pohled na aféru #MeToo13.11.17 12:12 Rusko 2

Stropnický st.: "občané by neměli mít možnost rozhodovat o věcech, u kterých nedokážou posoudit všechny důsledky"12.11.17 18:13 Česká republika 7

Měnové kurzy

USD
21,45 Kč
Euro
25,42 Kč
Libra
28,54 Kč
Kanadský dolar
16,88 Kč
Australský dolar
16,36 Kč
Švýcarský frank
21,85 Kč
100 japonských jenů
19,29 Kč
Čínský juan
3,26 Kč
Polský zloty
6,04 Kč
100 maď. forintů
8,14 Kč
Ukrajinská hřivna
0,81 Kč
100 rublů
36,74 Kč
1 unce (31,1g) zlata
27 702,11 Kč
1 unce stříbra
366,91 Kč
Bitcoin
175 376,72 Kč

Poslední aktualizace: 23.11.2017 19:33 SEČ

Tuto stránku navštívilo 16 254