Červ Sasser je neškodný, ale šíří se prý rychle

Vladimír Stwora

4.5.2004 Technická poradna Témata: Nezařazeno 479 slov

Červ se objevil prvního května. Využívá chyby přetečení bufferu v LSASRV.DLL. Nakazí pouze systémy Windows 2000 a XP. Systémy Windows 95/98/ME sice nemohou být nakaženy, ale mohou být použity k šíření červa - něco jako bacilonosiči. Systémy Linux, Mac OS, DOS, OS/2 jsou vůči tomuto červu odolné, stejně jako starší verze Windows (NT, 3.0).

Červ se dostane dovnitř pouze přes internet. Nešíří se e-maily. Člověk je proti jeho příchodu poměrně bezmocný, protože vše probíhá bez jeho zásahu.

Jakmile se vám červ uhnízdí uvnitř, vytvoří v adresáři Windows soubor Avserve2.exe a přidá automatický start tohoto programu do

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,

což mu zajistí start při příštím restartu systému.

Nastartuje vlastní FTP server na portu 5554. Pak začne náhodně generovat IP adresy. Za účelem generování náhodných čísel odstartuje 128 vláken, což se projeví zřetelným zpomalením systému.

Pro každou čerstvě vytvořenou adresu zkusí, zda port 445 je funkční. Dostane-li kladnou odpověď, otevře TCP port 9996 a odešle paket, který je zvlášť naformátován tak, že využívá chyby ve funkci DsRolerUpgradeDownlevelServer - v podstatě otevře na dálku příkazový řádek. Nyní má plnou kontrolu nad vzdáleným počítačem a mohl by dělat, co je mu libo. Naštěstí se spokojí pouze s tím, že sám sebe odešle na vzdálený počítač. Následně dojde k havárii Lsass.exe a systém bude restartovat.

Jak se mohu bránit?

Používám firewall. Nemám-li žádný, stáhnu si ZoneAlarm, který je nejen dosti robustní, ale i zdarma. Za normálních okolností by všechny porty měly být zavřeny nebo dokonce zvenčí neviditelné. V každém případě si zvlášť pohlídám porty 445, 5554 a 9996. Jak poznám, které porty jsou otevřeny? Otevřu si příkazový řádek a napíši:

netstat -an

Netstat je utilitka, která je součástí Windows. S parametrem -an zobrazí všechny porty, na kterých můj systém "naslouchá". Vzhledem k tomu, že jsem jen obyčejný uživatel Windows a nepoužívám žádné zvláštní servery, jako httpd, ftp apod., mělo by platit, že všechny porty by měly být zavřeny.

Dále si stáhnu a implementuji od Microsoftu záplatu. Najdu ji na adrese www.microsoft.com/technet/security/bulletin/MS04-011.mspx spolu s bližším popisem chyby.

Jak poznám, zda tohoto červa mám?

Systém je zřetelně pomalejší, často a zdánlivě bez příčiny restaruje, zaznamenávám aktivní internetové spojení, ačkoliv zrovna nic nedělám.

Dalším poznávacím znamením je výše popsaný výpis z netstat. Uvidím-li ve výpisu otevřenou některý (nebo všechny) z portů 445, 5554, či 9996, pak je vysoká šance, že červa mám.

A rovněž není na škodu podívat se do svého adresáře Windows, zda se tam náhodou neroztahuje program Avserve2.exe.

Jak se červa zbavím?

Nejlépe tak, že si od firmy Symantec (nebo jiné) stáhnu malý prográmek, který za mě práci udělá víceméně sám. Mám-li Windows XP, musím předtím vypnout System Restore. Jinak hrozí, že mi inteligentní Windows červa automaticky znovu obnoví poté, co jsem se ho zbavil.

Známka 2.3 (hodnotilo 3)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Gesto pro nezávislost

31

Darováním zajistíte přežití nedotovaného redakčního prostoru, daleko od finančních a politických tlaků. Je to více, než pouhá podpora webu, je to závazek k pravdě a svobodě informací.

Za měsíc duben přispělo 63 čtenářů částkou 10 850 korun, což je 31 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010

IBAN: CZ4720100000002000368066
Ze Slovenska 2000368066/8330
IBAN: SK5883300000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
bc1q40mwpus89teua4ruhxrtal6v45lc3ye5a9ttud

Další možnosti platby ›

Ve zkratce

Karcinogenní škodliviny ve vašem víně? Studie odhalila masivní kontaminaci TFA v Evropě24.04.25 20:20 Evropská unie 0

Pákistán je připraven na válku s Indií24.04.25 20:09 Pákistán 0

Zelenskij vydal nové prohlášení o statusu Krymu24.04.25 20:02 Ukrajina 0

Triumfální hloupost Bruselu24.04.25 19:49 Evropská unie 0

Tucker Carlson: Deep State se pokouší sabotovat Trumpa zahájením války s Íránem24.04.25 19:17 USA 0

Změna ve vedení WEF nesignalizuje obrat, ale spíše prohloubení agendy24.04.25 19:13 Neurčeno 0

Zločinná praxe politických neziskovek24.04.25 11:04 Česká republika 0

Dodávky Taurusů směrem na Kyjev zakázalo ministerstvo zahraničí USA24.04.25 08:31 Německo 1

Pákistánci mají dva dny na opuštění Indie. Napětí mezi státy s jadernými zbraněmi vzrostlo24.04.25 06:39 Indie 0

Britský lord - Pax Americana končí 24.04.25 06:30 USA 0

Trump o Zelenském: Může buď získat mír, nebo ztratit celou zemi!23.04.25 19:49 USA 2

Slovensko zastaví dohodnutý odběr covidových vakcín23.04.25 19:39 Slovensko 0

Sypou na nás z letadel chemii? Rozhovor s českou výzkumnicí23.04.25 18:57 Česká republika 0

Brusel rozjel operaci “Krádež českého lithia”23.04.25 15:06 Evropská unie 0

Masivní ekonomický kolaps v USA je nevyhnutelný23.04.25 14:53 USA 0

Forum24 se musí omluvit23.04.25 14:40 Česká republika 0

Proč neřeknou lidem pravdu?23.04.25 06:57 Česká republika 0

JUDr. Norbert Naxera: Slávek Popelka byl dnes podmínečně propuštěn22.04.25 23:44 Česká republika 2

Putin nabízí zastavení invaze na Ukrajinu podél současné frontové linie22.04.25 21:11 Rusko 1

Čtyři severoevropské země vytvářejí nový vojenský blok jako alternativu k NATO22.04.25 19:16 Neurčeno 0

Měnové kurzy

USD
21,92 Kč
Euro
24,94 Kč
Libra
29,21 Kč
Kanadský dolar
15,81 Kč
Australský dolar
14,03 Kč
Švýcarský frank
26,47 Kč
100 japonských jenů
15,36 Kč
Čínský juan
3,01 Kč
Polský zloty
5,84 Kč
100 maď. forintů
6,14 Kč
Ukrajinská hřivna
0,53 Kč
100 rublů
26,34 Kč
1 unce (31,1g) zlata
73 096,02 Kč
1 unce stříbra
734,32 Kč
Bitcoin
2 047 801,54 Kč

Poslední aktualizace: 24.4.2025 21:00 SEČ

Tuto stránku navštívilo 18 803