Ecco una dettagliata analisi del worm Sasser che sta provocando grossi disagi in tutto il mondo. L'analisi è stata effettuata dalla Eset, società produttrice di Nod32.
----------------
Si tratta di un worm che si diffonde attraverso pacchetti di rete, sfruttando una vulnerabilità dei sistemi operativi Microsoft relativa al processo LSASS (Local Security Authority Subsystem Service).
Bollettino Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Identificazione CVE (Common Vulnerabilities and Exposures):
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0533
Il worm è costituito da un file eseguibile a 32 bit per Windows con formato Portable Executable, lungo 15872 byte.
Quando viene eseguito sul sistema vulnerabile, il worm crea un mutex (mutual exclusion) con nome âÂ?Â?Jobaka3lâÂ? allo scopo di garantire la presenza in memoria di una sola istanza di se stesso. Quindi crea una copia del proprio file infetto nella cartella predefinita di Windows, usando il nome âÂ?Â?avserve.exeâÂ?Â.
Il worm modifica il Registro di sistema allo scopo di essere eseguito in automatico ad ogni avvio di Windows, aggiungendo il valore
avserve.exe=%WinDir%avserve.exe
nella chiave
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
dove la variabile simbolica %Windir% rappresenta il percorso della cartella dove è installato Windows.
Al fine di impedire il riavvio del sistema il worm usa la funzione API (Application Programming Interface) di Windows âÂ?Â?AbortSystemShutdownâÂ?Â.
Sasser.A attiva un server FTP sulla porta TCP 5554. Questa tecnica viene usata per diffondere ulteriormente il worm.
Per individuare dei sistemi vulnerabili, il worm effettua una scansione sulla porta TCP 445 di indirizzi IP generati in modo casuale. Nel caso in cui avvenga con successo una connessione su tale porta, il worm tenta di sfruttare la vulnerabilità LSASS su sistemi privi di patch, inviando dei pacchetti di rete creati ad hoc che hanno la funzione di creare una shell remota sulla porta TCP 9996. Il worm usa questa shell per far connettere il computer remoto al server FTP creato in precedenza sul computer infetto, il tutto allo scopo di trasferire una copia di se stesso sull'host remoto. Il nome della copia è costituito da 4 o 5 numeri seguiti della stringa _up.exe. Esempio: 6799_up.exe
Gli indirizzi IP generati dal worm sono distribuiti come segue:
- 50% generati in modo del tutto casuale
- 25% hanno lo stesso primo octet dell'indirizzo IP del computer infetto
- 25% hanno lo stesso primo e secondo octet dell'indirizzo IP del computer infetto
Per effettuare la scansione degli indirizzi IP il worm crea 128 differenti thread. Questa tecnica determina un notevole sovraccarico di lavoro per la CPU e a causa di tale overload spesso il computer infetto diventa quasi del tutto inutilizzabile.
----------------
Il Sasser tenta di sfruttare la vulnerabilità di Microsoft solo sulla porta TCP 445 ma è possibile sfruttare il bug anche sulla porta TCP 139.
Se il worm non include intenzionalmente backdoor, tuttavia il server FTP che apre sulla porta TCP 5554 è affetto da una vulnerabilità che può essere facilmente sfruttata per guadagnare l'accesso al sistema infetto.
Raccomandiamo quindi la lettura della precedente news per informazioni su come proteggersi dal worm.