Sasser
Sasser je počítačový červ, který se týká počítačů se systémem zranitelné verze Microsoft Windows XP a Windows 2000. Sasser se šíří tím, že využívá v systému zranitelné síťové porty (stejně jako některé další červy). Proto je obzvláště virulentní v tom, že se může šířit bez zásahu uživatele, ale je také snadno zastaven, když je správně nakonfigurován firewall nebo stažením aktualizací systému z Windows Update. Specifická díra, jíž Sasser využívá, je zdokumentována Microsoftem ve svém bulletinu[zdroj?], pro který byla oprava vydána o sedmnáct dnů dříve[konkrétní datum?].
Historie a účinky
Sasser byl poprvé zaznamenán a začal se šířit dne 30. dubna 2004. Tento červ byl pojmenován Sasser, protože se šíří tím, že využívá přetečení vyrovnávací paměti ve složce známé jako LSASS (Local Security Authority Subsystem Service) na dotčených operačních systémech. Červ prohledává různé rozsahy IP adres a připojuje se k počítači oběti především prostřednictvím TCP portu 445. Analýza Microsoftu naznačuje, že se může šířit také prostřednictvím portu 139. Několik variant tzv. Sasser.B, Sasser.C a Sasser.D se objevilo během několika dnů (původní se jmenoval Sasser.A). LSASS zranitelnost byla opravena společností Microsoft v dubnu 2004 pomocí svých měsíčních bezpečnostních balíčků, právě kvůli červovi. Někteří odborníci na technologie spekulovali, že tvůrci červa použili reverzní inženýrství na patch Microsoftu k objevení chyby, která by jim otevřela miliony počítačů, jejichž operační systém nebyl aktualizován.
K efektům Sassera patří několikahodinová blokace družicové komunikace news agency Agence France-Presse (AFP), USA Společnost Delta Air Lines musela zrušit několik transatlantických letů, protože její počítačové systémy byly infikovány červem. V severských zemích pojišťovna IF a její finští majitelé Sampo Bank se úplně zastavili a museli zavřít 130 kanceláří po Finsku. Ve Spojeném království měla pobřežní stráž zablokované mapové služby po dobu několika hodin a Goldman Sachs, Deutsche Post a Evropská komise také měli problémy s červem. X-ray oddělení na Lund University Hospital mělo všechny své čtyřvrstvé rentgenové stroje vypnuté a po dobu několika hodin museli přesměrovat nouzové pacienty do nedaleké nemocnice. University of Missouri byla nucena "odpojit" svou síť z širšího Internetu v reakci na červa.
Autor
Zpočátku se věřilo, že Sasser byl napsaný v Rusku toutéž osobou/osobami, které vytvořily další červ zmiňovaný jako MSBlast, nebo Blaster (kvůli mediím). Vazba byla indikována podobností kódu těchto dvou, ale dne 7. května 2004 byl zatčen za psaní červa 18letý německý student informatiky Sven Jaschan z Rotenburgu an der Wümme. Německé orgány byly vedeny k Jaschanovi částečně proto, že jim pomohly informace získané v reakci na nabídku odměny ze strany společnosti Microsoft ve výši US $250 000.
Jeden z Jaschanových přátel oznámil Microsoftu, že jeho přítel byl tvůrcem červa. Dále bylo zjištěno, že nejen Sasser, ale také Netsky.AC, varianta Netsky červa, byla jeho tvorba. Byly zjištěny další variace Sassera, Sasser.E, jenž byly objeveny v oběhu krátce po jeho zatčení. Byla to jediná varianta, která se pokusila odstranit další červy z infikovaného počítače, hodně podobným způsobem, jako to Netsky dělá.
Jaschan byl souzen jako mladistvý, protože německé soudy rozhodly, že vytvořil červa dříve než mu bylo 18 let. Červ sám byl vypuštěn na jeho 18. narozeniny (29. dubna 2004). Sven Jaschan byl shledán vinným z počítačové sabotáže a nelegálního pozměňování dat. V pátek 8. července 2005 dostal 21 měsíců podmíněně.
Nežádoucí účinky
Indikace infekce červa na daném PC je existence souboru C:\WIN.LOG
nebo C:\WIN2.LOG
na pevném disku počítače, stejně jako zdánlivě náhodné pády s Lsass.exe
na obrazovce způsobené vadným kódem použitým v červovi. Nejcharakterističtějším příznakem červa je časovač vypnutí, který se objeví v důsledku shazování lsass.exe červem.
Možná zástupná řešení
Sekvence vypnutí může být přerušena stisknutím tlačítka Start a pomocí Spustit a zadání shutdown -a
. To přeruší vypnutí systému, takže uživatel může pokračovat v tom, co dělá. Soubor Shutdown.exe není k dispozici ve výchozím nastavení v systému Windows 2000, ale může být instalován z resource kitu systému Windows 2000. Je k dispozici v systému Windows XP.
Druhá možnost jak zastavit červa od vypnutí počítače je změnit čas a nebo datum na systémových hodinách na dříve. Čas vypnutí se prodlouží o tolik, o kolik byly hodiny nastaveny zpět.
Reference
V tomto článku byl použit překlad textu z článku Sasser (computer worm) na anglické Wikipedii.
Externí odkazy
- Microsoft Security Bulletin: MS04-011
- CVE: CAN-2003-0533
- Bugtraq ID 10108
- Read here how you can protect your PC (Microsoft Security page) - Includes links to the info pages of major anti-virus companies.
- New Windows Worm on the Loose (Slashdot article)
- Report on the effects of the worm from the BBC
- German admits creating Sasser (BBC News)
- Sasser creator avoids jail term (BBC News)