Červ Sasser je neškodný, ale šíří se prý rychle
4.5.2004 Technická poradna Témata: Nezařazeno 479 slov
Červ se objevil prvního května. Využívá chyby přetečení bufferu v LSASRV.DLL. Nakazí pouze systémy Windows 2000 a XP. Systémy Windows 95/98/ME sice nemohou být nakaženy, ale mohou být použity k šíření červa - něco jako bacilonosiči. Systémy Linux, Mac OS, DOS, OS/2 jsou vůči tomuto červu odolné, stejně jako starší verze Windows (NT, 3.0).
Červ se dostane dovnitř pouze přes internet. Nešíří se e-maily. Člověk je proti jeho příchodu poměrně bezmocný, protože vše probíhá bez jeho zásahu.
Jakmile se vám červ uhnízdí uvnitř, vytvoří v adresáři Windows soubor Avserve2.exe a přidá automatický start tohoto programu do
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
,
což mu zajistí start při příštím restartu systému.
Nastartuje vlastní FTP server na portu 5554. Pak začne náhodně generovat IP adresy. Za účelem generování náhodných čísel odstartuje 128 vláken, což se projeví zřetelným zpomalením systému.
Pro každou čerstvě vytvořenou adresu zkusí, zda port 445 je funkční. Dostane-li kladnou odpověď, otevře TCP port 9996 a odešle paket, který je zvlášť naformátován tak, že využívá chyby ve funkci DsRolerUpgradeDownlevelServer - v podstatě otevře na dálku příkazový řádek. Nyní má plnou kontrolu nad vzdáleným počítačem a mohl by dělat, co je mu libo. Naštěstí se spokojí pouze s tím, že sám sebe odešle na vzdálený počítač. Následně dojde k havárii Lsass.exe a systém bude restartovat.
Jak se mohu bránit?
Používám firewall. Nemám-li žádný, stáhnu si ZoneAlarm, který je nejen dosti robustní, ale i zdarma. Za normálních okolností by všechny porty měly být zavřeny nebo dokonce zvenčí neviditelné. V každém případě si zvlášť pohlídám porty 445, 5554 a 9996. Jak poznám, které porty jsou otevřeny? Otevřu si příkazový řádek a napíši:
netstat -an
Netstat je utilitka, která je součástí Windows. S parametrem -an zobrazí všechny porty, na kterých můj systém "naslouchá". Vzhledem k tomu, že jsem jen obyčejný uživatel Windows a nepoužívám žádné zvláštní servery, jako httpd, ftp apod., mělo by platit, že všechny porty by měly být zavřeny.
Dále si stáhnu a implementuji od Microsoftu záplatu. Najdu ji na adrese www.microsoft.com/technet/security/bulletin/MS04-011.mspx spolu s bližším popisem chyby.
Jak poznám, zda tohoto červa mám?
Systém je zřetelně pomalejší, často a zdánlivě bez příčiny restaruje, zaznamenávám aktivní internetové spojení, ačkoliv zrovna nic nedělám.
Dalším poznávacím znamením je výše popsaný výpis z netstat. Uvidím-li ve výpisu otevřenou některý (nebo všechny) z portů 445, 5554, či 9996, pak je vysoká šance, že červa mám.
A rovněž není na škodu podívat se do svého adresáře Windows, zda se tam náhodou neroztahuje program Avserve2.exe.
Jak se červa zbavím?
Nejlépe tak, že si od firmy Symantec (nebo jiné) stáhnu malý prográmek, který za mě práci udělá víceméně sám. Mám-li Windows XP, musím předtím vypnout System Restore. Jinak hrozí, že mi inteligentní Windows červa automaticky znovu obnoví poté, co jsem se ho zbavil.