Sasser — компьютерный червь , поражающий компьютеры под управлением уязвимых версий операционных систем Microsoft Windows XP и Windows 2000 . Sasser распространяется путем использования системы через уязвимый порт . Таким образом, он особенно опасен, поскольку может распространяться без вмешательства пользователя, но его также легко остановить правильно настроенным брандмауэром или загрузкой обновлений системы из Центра обновления Windows . Конкретные уязвимости Sasser задокументированы Microsoft в бюллетене MS04-011, патч для которого был выпущен семнадцатью днями ранее. [1] Наиболее характерным проявлением червя является таймер выключения, который появляется из-за сбоя LSASS червя .
Sasser был создан 30 апреля 2004 года. [2] Этот червь получил название Sasser, поскольку он распространяется, используя переполнение буфера в компоненте, известном как LSASS ( служба подсистемы локального органа безопасности ) в затронутых операционных системах. Согласно отчету eEye Digital Security, опубликованному 13 апреля 2004 г., это переполнение буфера основано на явно устаревшем API-вызове Microsoft Active Directory, который позволяет выполнять непроверяемые удаленные запросы и приводит к сбою LSASS.exe, если ему задана длинная строка. [3] Попав на компьютер, червь сканирует различные диапазоны IP-адресов и подключается к компьютерам жертв преимущественно через TCP- порт 445. Если обнаруживается уязвимая установка XP или 2000, червь использует собственный FTP-сервер, размещенный на ранее зараженном компьютере. машины загрузить себя на вновь скомпрометированный хост. Анализ червя, проведенный Microsoft, показывает, что он также может распространяться через порт 139. Несколько вариантов под названием Sasser.B , Sasser.C и Sasser.D появились в течение нескольких дней (оригинал назывался Sasser.A). Уязвимость LSASS была исправлена Microsoft в апрельском выпуске ежемесячных пакетов безопасности 2004 года, еще до выпуска червя. Некоторые технические специалисты предполагают, что автор червя перепроектировал патч, чтобы обнаружить уязвимость, которая может открыть миллионы компьютеров, операционная система которых не была обновлена с помощью обновления безопасности. [4]
Последствия Sasser включали блокировку всех спутниковых коммуникаций информационного агентства Agence France-Presse (AFP) на несколько часов, а американской авиакомпании Delta Air Lines пришлось отменить несколько трансатлантических рейсов, поскольку ее компьютерные системы были захвачены червем. Скандинавская страховая компания If и ее финские владельцы Sampo Bank полностью прекратили свою деятельность и были вынуждены закрыть свои 130 офисов в Финляндии . Британская береговая охрана на несколько часов отключила службу электронных карт, а у Goldman Sachs , Deutsche Post и Европейской комиссии также были проблемы с червем. В рентгеновском отделении университетской больницы Лунда на несколько часов были отключены все четырехслойные рентгеновские аппараты , и им пришлось перенаправить пациентов , проходящих неотложную рентгенографию, в ближайшую больницу.
7 мая 2004 года 18-летний немец Свен Яшан из Ротенбурга , Нижняя Саксония , тогда студент технического колледжа, был арестован за написание червя. Немецкие власти были привлечены к Яшану отчасти из-за информации, полученной в ответ на предложение Microsoft о вознаграждении в размере 250 000 долларов США.
Один из друзей Джашана сообщил Microsoft, что червь создал его друг. Далее он сообщил, что не только Sasser, но и Netsky.AC, вариант червя Netsky , был его творением. Другой вариант Sasser, Sasser.E , был обнаружен в обращении вскоре после ареста. Это был единственный вариант, который пытался удалить других червей с зараженного компьютера, во многом аналогично тому, как это делает Netsky.
Яшана судили как несовершеннолетнего, поскольку суды Германии установили, что он создал червя до того, как ему исполнилось 18 лет. Сам червь был выпущен в день его 18-летия (29 апреля 2004 г.). Свен Яшан был признан виновным в компьютерном саботаже и незаконном изменении данных. В пятницу, 8 июля 2005 г., он был приговорен к 21 месяцу условно.
Признаком заражения данного ПК червем является наличие файлов C:\win.logили C:\win2.logна C:\WINDOWS\avserve2.exeжестком диске ПК, ftp.exeслучайная работа и 100% загрузка процессора, а также кажущиеся случайными сбои LSA Shell (экспортная версия), вызванные ошибочным кодом. используется в червяке. Наиболее характерным признаком червя является таймер выключения, который появляется из-за сбоя червя LSASS.exe.
Последовательность выключения можно прервать, нажав кнопку «Пуск» и введя команду «Выполнить»shutdown /a . Это прерывает выключение системы, чтобы пользователь мог продолжить свои действия. Файл Shutdown.exe по умолчанию недоступен в Windows 2000, но его можно установить из пакета ресурсов Windows 2000. Он доступен в Windows XP. Второй способ не дать червю выключить компьютер — изменить время и/или дату на его часах на более раннее; время выключения переместится настолько далеко в будущее, на сколько часы были переведены назад.