|
|
|
 |
|
|
| |
Notiziario Marketpress di
Lunedì 03 Maggio 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
TREND MICRO HA RILASCIATO UN ALLERTA DI GRADO MEDIO PER IL WORM_SASSER.A – SFRUTTA RECENTI VULNERABILITÀ, TROVA VITTIME ATTRAVERSO INDIRIZZI IP, APRE BACKDOOR PER INFETTARE I SISTEMI |
|
| |
|
|
| |
Milano, 3 maggio, 2004 – Trend Micro ha rilasciato un ‘allerta di rischio medio’ per il Worm_sasser.a, al fine di far crescere l’attenzione su questo worm che si diffonde ricercando indirizzi Ip e sfruttando una vulnerabilità di tipo “buffer overrun” recentemente scoperta da Microsoft. Questo worm è stato visto in numerosi paesi attraverso l’Europa, Asia e negli Stati Uniti. Worm_sasser.a sfrutta la vulnerabilità di Windows “Local Security Authority Subsystem Service” (Lsass), cioè è un buffer overrun che permette l’esecuzione di codici remoti permettendo a un attaccante di ottenere il pieno controllo dei sistemi infettati. Per propagarsi, Worm_sasser.a ricerca in modo casuale indirizzi Ip dei sistemi vulnerabili. Quando il sistema vulnerabile viene trovato, il malware invia un messaggio che produce un buffer overrun in Lsass.exe, con l’effetto di causare lo schianto del programma e richiedere il riavvio di Windows. La vulnerabilità di Lsass è stata riportata la prima volta il 13 Aprile del 2004 ed era utilizzato da una variante del worm Agobot (Worm_agobot.jf), rilevato 16 giorni dopo. Al confronto del worm ‘Blaster’ (Agosto 2003) che impiegò 26 giorni dalla vulnerabilità alla crisi virus,c’è una sempre maggior riduzione del margine di tempo fra la vulnerabilità e il suo sfruttamento. Il conseguente overflow da Worm_sasser.a permette al malware di ascoltare sulla porta Tcp 9996, che lo istruisce a generare un command shell. Il worm allora crea lo script file Cmd.ftp che contiene istruzioni al sistema vulnerabile per scaricare via Ftp ed eseguire una copia di Worm_sasser.a. Il server infettato allora apre la port Tcp 5554 per accettare ogni richiesta Ftp da sistemi remoti infettati. La copia del worm per essere scaricata contiene il nome del file <random integer>_up.Exe (e.G., 12345_up.Exe), ed è salvato nella directory del sistema Windows. Basandosi sui tipi di virus raccolti dai Trendlabs Europe di Trend Micro durante il mese di Aprile 2004, c’è stato un incremento del 60% delle capacità di backdoor utilizzate dal nuovo codice maligno. Questi cambiamenti nei comportamenti dei malware potrebbero essere il risultato della crescita degli abbonamenti Dsl e reti casalinghe, che possono essere bersagli attraenti per i virus writers, hacker, e spammers. Worm_sasser.a arriva come allegato di 16Kb . Attacca Windows 95, 98, Me, Nt, 2000 e piattaforme Xp. Questo worm può essere conosciuto anche con gli alias: W32/sasser.worm, Win32.sasser.a, o W32/sasser-a. I clienti Trend Micro sono protetti grazie al pattern file 879 o successivi, quelli degli Outbreak Prevention Services dovrebbero scaricare la Opp 110 o successive per assicurarsi che i loro sistemi siano protetti contro la diffusione di quest’ultima minaccia. Per gli utenti dei Damage Cleanup Services, il Damage Cleanup template # 331 è disponibile per aiutarli nel ripristino automatico dei sistemi colpiti. Utenti di Trend Micro Network Viruswall 1200 possono rilevare questo worm attraverso il pattern #10124. Le vulnerabilità associate sono inoltre descritte nel Vulnerability Assessment pattern # 010. Tutti gli altri utenti dovrebbero utilizzare Housecall, lo scanner gratuito online di Trend Micro, che può essere scaricato all’indirizzo http://housecall.Trendmicro.com/ . I clienti sono invitati ad applicare le necessarie patch alla vulnerabilità rese disponibili da Microsoft per affrontare la vulnerabilità di Lsass. Infolink: http://it.Trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=58928&vname=worm_sasser.a&vsect=o
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
