Červ Sasser je neškodný, ale šíří se prý rychle

Vladimír Stwora

4.5.2004 Technická poradna Témata: Nezařazeno 479 slov

Červ se objevil prvního května. Využívá chyby přetečení bufferu v LSASRV.DLL. Nakazí pouze systémy Windows 2000 a XP. Systémy Windows 95/98/ME sice nemohou být nakaženy, ale mohou být použity k šíření červa - něco jako bacilonosiči. Systémy Linux, Mac OS, DOS, OS/2 jsou vůči tomuto červu odolné, stejně jako starší verze Windows (NT, 3.0).

Červ se dostane dovnitř pouze přes internet. Nešíří se e-maily. Člověk je proti jeho příchodu poměrně bezmocný, protože vše probíhá bez jeho zásahu.

Jakmile se vám červ uhnízdí uvnitř, vytvoří v adresáři Windows soubor Avserve2.exe a přidá automatický start tohoto programu do

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,

což mu zajistí start při příštím restartu systému.

Nastartuje vlastní FTP server na portu 5554. Pak začne náhodně generovat IP adresy. Za účelem generování náhodných čísel odstartuje 128 vláken, což se projeví zřetelným zpomalením systému.

Pro každou čerstvě vytvořenou adresu zkusí, zda port 445 je funkční. Dostane-li kladnou odpověď, otevře TCP port 9996 a odešle paket, který je zvlášť naformátován tak, že využívá chyby ve funkci DsRolerUpgradeDownlevelServer - v podstatě otevře na dálku příkazový řádek. Nyní má plnou kontrolu nad vzdáleným počítačem a mohl by dělat, co je mu libo. Naštěstí se spokojí pouze s tím, že sám sebe odešle na vzdálený počítač. Následně dojde k havárii Lsass.exe a systém bude restartovat.

Jak se mohu bránit?

Používám firewall. Nemám-li žádný, stáhnu si ZoneAlarm, který je nejen dosti robustní, ale i zdarma. Za normálních okolností by všechny porty měly být zavřeny nebo dokonce zvenčí neviditelné. V každém případě si zvlášť pohlídám porty 445, 5554 a 9996. Jak poznám, které porty jsou otevřeny? Otevřu si příkazový řádek a napíši:

netstat -an

Netstat je utilitka, která je součástí Windows. S parametrem -an zobrazí všechny porty, na kterých můj systém "naslouchá". Vzhledem k tomu, že jsem jen obyčejný uživatel Windows a nepoužívám žádné zvláštní servery, jako httpd, ftp apod., mělo by platit, že všechny porty by měly být zavřeny.

Dále si stáhnu a implementuji od Microsoftu záplatu. Najdu ji na adrese www.microsoft.com/technet/security/bulletin/MS04-011.mspx spolu s bližším popisem chyby.

Jak poznám, zda tohoto červa mám?

Systém je zřetelně pomalejší, často a zdánlivě bez příčiny restaruje, zaznamenávám aktivní internetové spojení, ačkoliv zrovna nic nedělám.

Dalším poznávacím znamením je výše popsaný výpis z netstat. Uvidím-li ve výpisu otevřenou některý (nebo všechny) z portů 445, 5554, či 9996, pak je vysoká šance, že červa mám.

A rovněž není na škodu podívat se do svého adresáře Windows, zda se tam náhodou neroztahuje program Avserve2.exe.

Jak se červa zbavím?

Nejlépe tak, že si od firmy Symantec (nebo jiné) stáhnu malý prográmek, který za mě práci udělá víceméně sám. Mám-li Windows XP, musím předtím vypnout System Restore. Jinak hrozí, že mi inteligentní Windows červa automaticky znovu obnoví poté, co jsem se ho zbavil.

Známka 2.3 (hodnotilo 3)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

50

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc říjen přispělo 111 čtenářů částkou 17 636 korun, což je 50 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010

IBAN: CZ4720100000002000368066
Ze Slovenska 2000368066/8330
IBAN: SK5883300000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
15SucVps1Cpxd6ahR6uxx6SJiR16SZgR7b

Další možnosti platby ›

Ve zkratce

Poučme se, co způsobil totální lockdown v Izraeli26.10.20 00:42 Izrael 1

Jak u Prymulových hrabou a hrabou (pod sebe)24.10.20 18:21 Česká republika 5

Poskytovatelé hudby prý řeší nadřazenost bělochů. Písně čeká přísná kontrola24.10.20 10:04 Neurčeno 6

Soud dnes rozdal podmíněné tresty oběma autorům nápisu v Letech23.10.20 21:43 Česká republika 0

Vipná analýza Prymulova kiksu23.10.20 18:35 Česká republika 7

Prymulův konec? Neradujme se předčasně23.10.20 13:06 Česká republika 2

Sám Prymula náhubek neměl a chodí do restaurace i přes to, že je zavřel23.10.20 08:35 Česká republika 11

Na Slovensku testují "když budeš hodný, můžeš ven" - hlavní cíl hysterie kolem koronaviru22.10.20 21:22 Slovensko 2

Udavač volal linku 158 na chlapa bez náhubku22.10.20 21:14 Česká republika 4

AGENDA 2030 – TVŮRCI NYNÍ ZHODNOTILI SVÉ ZRŮDNÉ PLÁNY22.10.20 13:37 Neurčeno 0

Plánovaná demonstrace 28. října v Praze22.10.20 08:53 Česká republika 0

Bělorusko versus Česko21.10.20 20:43 Neurčeno 13

Česko žádá o pomoc21.10.20 13:25 Česká republika 9

Za polibek bez náhubků 400 euro20.10.20 17:33 Itálie 5

Soud v Německu rozhodl, že omezit zavírací dobu restaurací není opodstatněné19.10.20 21:32 Německo 4

Co je s panem prezidentem?17.10.20 09:47 Česká republika 7

Je třeba říci dost, burcuje Klaus. Nejsme ve válce, nestrašte mrazáky s mrtvolami14.10.20 11:11 Česká republika 3

Erouška je pochybná aplikace s placebo negativním efektem14.10.20 10:15 Česká republika 5

Ve stavu nebezpečí si schválí cokoli bez demokratické kontroly13.10.20 19:31 Česká republika 0

Maďarská poslankyně skartovala knihu dětškých pohádek plnou gayů a leseb, aktivisté ječí13.10.20 18:08 Maďarsko 3

Měnové kurzy

USD
23,08 Kč
Euro
27,29 Kč
Libra
30,06 Kč
Kanadský dolar
17,46 Kč
Australský dolar
16,43 Kč
Švýcarský frank
25,45 Kč
100 japonských jenů
22,01 Kč
Čínský juan
3,44 Kč
Polský zloty
5,96 Kč
100 maď. forintů
7,47 Kč
Ukrajinská hřivna
0,81 Kč
100 rublů
30,21 Kč
1 unce (31,1g) zlata
43 944,01 Kč
1 unce stříbra
562,76 Kč
Bitcoin
297 763,25 Kč

Poslední aktualizace: 26.10.2020 19:33 SEČ

Tuto stránku navštívilo 17 307