image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di Da oggi bollette più facili da leggere: come funziona lo “scontrino dell’energia" Da oggi bollette più facili da leggere: come funziona lo �...
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati pe...

Worm Sasser: analisi dettagliata

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Marco Giuliani

a cura di Marco Giuliani

Pubblicato il 03/05/2004 alle 15:35 - Aggiornato il 15/03/2015 alle 01:03

Ecco una dettagliata analisi del worm Sasser che sta provocando grossi disagi in tutto il mondo. L'analisi è stata effettuata dalla Eset, società produttrice di Nod32.

----------------

Si tratta di un worm che si diffonde attraverso pacchetti di rete, sfruttando una vulnerabilità dei sistemi operativi Microsoft relativa al processo LSASS (Local Security Authority Subsystem Service).

Bollettino Microsoft:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Identificazione CVE (Common Vulnerabilities and Exposures):

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0533

Il worm è costituito da un file eseguibile a 32 bit per Windows con formato Portable Executable, lungo 15872 byte.

Quando viene eseguito sul sistema vulnerabile, il worm crea un mutex (mutual exclusion) con nome âÂ?Â?Jobaka3lâÂ? allo scopo di garantire la presenza in memoria di una sola istanza di se stesso. Quindi crea una copia del proprio file infetto nella cartella predefinita di Windows, usando il nome âÂ?Â?avserve.exeâÂ?.

Il worm modifica il Registro di sistema allo scopo di essere eseguito in automatico ad ogni avvio di Windows, aggiungendo il valore

avserve.exe=%WinDir%avserve.exe

nella chiave

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

dove la variabile simbolica %Windir% rappresenta il percorso della cartella dove è installato Windows.

Al fine di impedire il riavvio del sistema il worm usa la funzione API (Application Programming Interface) di Windows âÂ?Â?AbortSystemShutdownâÂ?.

Sasser.A attiva un server FTP sulla porta TCP 5554. Questa tecnica viene usata per diffondere ulteriormente il worm.

Per individuare dei sistemi vulnerabili, il worm effettua una scansione sulla porta TCP 445 di indirizzi IP generati in modo casuale. Nel caso in cui avvenga con successo una connessione su tale porta, il worm tenta di sfruttare la vulnerabilità LSASS su sistemi privi di patch, inviando dei pacchetti di rete creati ad hoc che hanno la funzione di creare una shell remota sulla porta TCP 9996. Il worm usa questa shell per far connettere il computer remoto al server FTP creato in precedenza sul computer infetto, il tutto allo scopo di trasferire una copia di se stesso sull'host remoto. Il nome della copia è costituito da 4 o 5 numeri seguiti della stringa _up.exe. Esempio: 6799_up.exe

Gli indirizzi IP generati dal worm sono distribuiti come segue:

  • 50% generati in modo del tutto casuale
  • 25% hanno lo stesso primo octet dell'indirizzo IP del computer infetto
  • 25% hanno lo stesso primo e secondo octet dell'indirizzo IP del computer infetto

Per effettuare la scansione degli indirizzi IP il worm crea 128 differenti thread. Questa tecnica determina un notevole sovraccarico di lavoro per la CPU e a causa di tale overload spesso il computer infetto diventa quasi del tutto inutilizzabile.

----------------

Il Sasser tenta di sfruttare la vulnerabilità di Microsoft solo sulla porta TCP 445 ma è possibile sfruttare il bug anche sulla porta TCP 139.

Se il worm non include intenzionalmente backdoor, tuttavia il server FTP che apre sulla porta TCP 5554 è affetto da una vulnerabilità che può essere facilmente sfruttata per guadagnare l'accesso al sistema infetto.

Raccomandiamo quindi la lettura della precedente news per informazioni su come proteggersi dal worm.

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram
Live

I più letti di oggi


  • #1
    Blocco diesel Euro 5 Nord Italia: tutto quello che c'è da sapere
  • #2
    Amazon Prime Day, quand'è, quanto dura e come trovare le offerte migliori
  • #3
    Incredibile ma vero: PNG si aggiorna dopo ben 22 anni
  • #4
    Migliori stampanti fotografiche (luglio 2025)
  • #5
    LTSC è la versione più pulita di Windows! Tua a 8€ per un tempo limitato
  • #6
    Tutti vogliono la M2 CS e BMW aumenta la produzione
Articolo 1 di 5
Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Sono arrivati i nuovi Shelly Gen4: soluzioni smart con controllo dei consumi per una casa intelligente come mai prima d’ora.
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Leggi questo articolo
Articolo 2 di 5
Da oggi bollette più facili da leggere: come funziona lo “scontrino dell’energia"
Dal 1° luglio arriva il nuovo formato delle bollette energetiche: più chiare, trasparenti e con frontespizio standardizzato per tutti i fornitori.
Immagine di Da oggi bollette più facili da leggere: come funziona lo “scontrino dell’energia"
1
Leggi questo articolo
Articolo 3 di 5
Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Durante le calde giornate estive, può capitare di voler asciugare i capelli all’aria aperta, ma con questo asciugacapelli non vorrete più farlo.
Immagine di Il phon giusto può cambiare la giornata, anche quando fuori ci sono 40°
Leggi questo articolo
Articolo 4 di 5
AFFARE Prime Day: De Longhi Nespresso Vertuo Pop a META' PREZZO!
Approfitta subito dell'offerta riservata Amazon Prime per la De Longhi Nespresso Vertuo Pop, completa di 60 capsule in alluminio riciclato.
Immagine di AFFARE Prime Day: De Longhi Nespresso Vertuo Pop a META' PREZZO!
Leggi questo articolo
Articolo 5 di 5
Prime Day: le migliori offerte anticipate da non perdere!
Mancano pochi giorni al Prime Day 2025, ma chi possiede l'abbonamento Prime può già accedere a sconti esclusivi. Ne abbiamo elencati alcuni.
Immagine di Prime Day: le migliori offerte anticipate da non perdere!
1
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.