LSASS
Tisztelt Hölgyem/Uram!
Ön VÍRUS RIADÓ hírlevelünket olvassa.
A Vírus Híradó szerkesztõsége jogszerûen használja és továbbítja az F-
Secure Corp., a Kaspersky Labs Inc., a Trend Micro Inc. és a Virus
Bulletin által kiadott híranyagokat. Kérjük - a hitelesség érdekében - a
híranyagok továbbítása illetve közzététele esetén szíveskedjék
feltüntetni hírforrásként a Vírus Híradót.
Téma: Terjed a "Sasser", az elsõ LSASS hibát kihasználó féregcsalád.
[Riasztási fokozata: 2-es (magas)]
----------------------------------------------------
2004. május elsején jelent meg az elsõ, szabadon terjedõ internetes
féreg, mely a Windows LSASS sebezhetõségét használja ki. Az MS04-
11-es számú értesítõt 2004. április 13-án adta ki a Windows gyártója,
a Microsoft cég - a biztonsági hiba javítása azóta elérhetõ.
Szeretnénk ezért felhívni olvasóink figyelmét, hogy akik még nem
telepítették fel a javítófoltot, azok látogassanak el a
"http://www.microsoft.com/windowsupdate" weboldalra,
és az ott elérhetõ automatikus frissítéssel tegyék biztonságossá a
rendszerüket, zárják ki a férget!
Akik már megfertõzõdtek, gépük mentesítéséhez az F-Secure cégtõl ingyenes
Sasser.A/.B férget irtó segédprogramot tölthetnek le:
ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.zip
Ezután az ismételt megfertõzõdés elkerüléséhez még a fenti Microsoft
javítások telepítése is szükséges!
************************************
Közép-európai idõ szerint kora reggel észlelte az F-Secure anti-vírus cég
a "Sasser.A"-nak keresztelt új programkártevõt. A szakértõk a ezzel a
féreggel kapcsolatban egy, a Slammer-hez hasonló fertõzési hullámra
számítanak; szerencse, hogy a kártevõ a hétvégén nem terjedt el széles
körben. Ez valószínûleg a munkaszünetnek és május elsejei ünnepi
eseményeknek tulajdonítható, a munkahét kezdetén viszont már valószínûleg
súlyos gondokat fog okozni a Sasser féreg.
A "Sasser.A" féreg a Windows LSASS szolgáltatásában lévõ puffer-
túlcsordulás típusú hibát használja ki, melyrõl bõvebb, angol nyelvû
információt a Microsoft Technet weboldalain találhatnak az érdeklõdõk
a Windows Security Bulletin MS04-011 címszó alatt.
A féreg azon Windows 2000 vagy XP operációs rendszerû számítógépekre
jelent veszélyt, melyekre nem telepítették az említett javítást, illetve
tûzfalas védelem nélkül csatlakoznak az Internetre.
A fertõzés jelei: A C: meghajtó gyökérkönyvtárában megjelenik
egy "win.log" nevû fájl és a Windows mappába egy "avserve.exe" nevû
fájl kerül. Gyakran összeomlik a rendszer (azaz felbukkan egy, a
számítógép 60 másodpercen belüli újraindulását jelzõ figyelmeztetés).
A kártevõ FTP-szervert telepít a fertõzött rendszerekre és a fertõzési
hullám miatt világszerte megnövekedett forgalom tapasztalható a 445-
ös, 5554-es és 9996-os számú TCP portokon.
Az F-Secure antivírus cég a Sasser.A féreg jelentette - új technológiát is
fevonultató - fenyegetés miatt május 1-én reggel 9 órakor közepes
szintû, Radar Level 2-es riasztást bocsátott ki.
A Trend Micro antivírus cég a Sasser.B féreg rohamos ütemû terjedése miatt
hétfõn reggel magas szintû "Red Alert" riasztást bocsátott ki.
Az F-Secure és Kaspersky programok a [Version=2004-05-01_01] vagy újabb
verziójú vírusismeret-frissítéssel már felismerik a kártevõt. Trend Micro
szoftver használata esetén minimum 879-es pattern fájl szükséges.
A féreg részletes magyar nyelvû leírását az érdeklõdõk a Vírus Híradó
honlapon olvashatják:
http://www.virushirado.hu/virh-virusleir.php?oid=268435576