Milioni di computer a rischio! E' scattato l'allarme rosso per il worm Sasser.B

La diffusione di una nuova variante di Sasser, worm emerso nel week end scorso che ora intraprende nuove strade, viene segnalata in grande aumento in mezzo mondo, Italia compresa. Gli osservatori antivirus, che posizionano a livello medio l'attenzione per il primo Sasser, hanno già elevato Sasser.B a livello di allerta elevata.

Come funziona. Sasser.B è un worm insidioso capace di colpire WindowsXP, Windows2000 e Windows2003 Server sfruttando una vulnerabilità di questi sistemi operativi di cui esiste da tempo la cura. Al contrario di altri worm, Sasser e Sasser.B si diffondono scansionando le reti a caccia di computer vulnerabili: se trovano una macchina che può essere attaccata l'attaccano subito e vi si installano.
Sasser.B non provoca guasti permanenti alle macchine in quanto il suo scopo è prima di tutto quello di mandarle in crash spingendo il sistema operativo a riavviarsi più volte.

Sul piano tecnico, Sasser.B:
1 - modifica il registro di Windows per assicurarsi di essere avviato ad ogni riavvio del sistema operativo
2 - disabilita l'interfaccia di spegnimento del computer (Standby-Spegni-Riavvia) in modo da mascherare più facilmente le operazioni di riavvio del computer
3 - attiva un server FTP sulla porta TCP 5554, un'opzione che consente al worm di spedire se stesso ad altri computer vulnerabili
4 - sulla porta TCP 445, Sasser.B tenta di connettersi ad una serie di indirizzi IP casuali: se ci riesce allora invia del codice alla macchina contattata per spingerla ad attivare una shell sulla porta TCP 996, attraverso cui il computer si connette al server FTP della macchina infetta e scarica una copia del worm. Il suo nome è composto da 4 o 5 caratteri seguiti da _up.exe

Come fermarlo. Gli utenti dei sistemi operativi colpiti dovrebbero già avere aggiornato il proprio Windows ma chi non lo avesse fatto può procedere a partire dalla pagina Web messa a punto da Microsoft per descrivere e curare la vulnerabilità sfruttata da Sasser e Sasser.B:
www.microsoft.com/technet/security/bulletin/MS04-011.mspx

La stessa Microsoft ha messo a disposizione un sistema di scansione per vedere direttamente online se si è colpiti da Sasser:
www.microsoft.com/security/incident/sasser.asp

Ma non è finita qui. Da alcune ore già circola una versione C di Sasser che, come è successo in passato, potrebbe provocare nuovi danni soprattutto se i computer vulnerabili non vengono sistemati immediatamente. E' dunque buona norma, dopo essersi accertati di non essere infetti, procedere subito all'installazione delle patch.

Altre informazioni. Tra i primi a fornire le informazioni più dettagliate sul funzionamento di Sasser.B c'è Trend Micro che ha messo a disposizione una pagina web in inglese che propone anche alcuni consigli sulla rimozione del worm e sulla prevenzione dai suoi futuri assalti:
www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

Il Symantec Security Response ha invece messo a disposizione un tool per la rimozione di Sasser.B:
securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html

Fonte: Punto Informatico.it