کرم
Sasser
منتشر شد
1 مه – 12
اردیبهشت
یک کرم اینترنتی
با نام
Sasser
از جمعه شب شروع به فعالیت کرده است و از حفره موجود در ویندوز
برای گسترش خود استفاده کرده است. این کرم تابحال بسیار کندتر از
MSBlast
و Code Red
عمل کرده است اما بتدریج سرعت می گیرد.
شرکت
Symantec
در ابتدا میزان خطر این کرم را 2 از 5 اعلام کرد. ( 5 بالاترین
میزان خطر را برای یک ویروس نشان می دهد.) سایر شرکتهای ضدویروس
مانند
Network Associates
نیز میزان خطر آن را متسط اعلام کرده اند. هنوز آمار دقیقی از
میزان گسترش این کرم اینترنتی بدست نیامده است اما یکی از مدیران
تیم پاسخگویی امنیتی
Network Associates
از گزارشهای متعدد از شرکتهای مختلف درباره آلودگی به این کرم
خبر داده است.
البته تولد این
کرم اینترنتی قبلا پیش بینی شده بود و لذا متخصصان امنیت را
متعجب نکرد. این کرم بدون دخالت کاربر از کامپیوتر آلوده به
کامپیوترهای دیگر گسترش می یابد. این کرم بدنبال سیستم های قابل
نفوذ می گردد, سپس یک ارتباط راه دور با آنها برقرار می کند . با
یافتن یک قربانی جدید, یک سرور
FTP
بر روی آن نصب می کند و خود را به میزبان جدید منتقل می کند. کرم
ارتباط اولیه را روی پورت 9996 برقرار می کند. پس از آلوده شدن
یک کامپیوتر , سرور
FTP
روی پورت 5554 فایلهای مورد نظر را دریافت می کند. این کرم از
چند پردازه برای اسکن کردن آدرسهای مختلف اینترنتی استفاده می
کند. این اسکن کردن روی پورت 445 منجر به یافتن کامپیوتر دارای
حفره در بخش
LSASS
ویندوز می شود. مایکروسافت معتقد است که این کرم از طریق پورت
139 خود را منتشر می کند. به هرحال هر دو کانال داده توسط پروتکل
اشتراک فایل ویندوز به کار گرفته می شوند و در بسیاری از موارد
توسط ISP
ها بسته شده اند.
بنابر آنالیزهای
انجام شده توسط مایکروسافت, این کرم باعث از کار افتادن
LSASS
می شود. پس از آن سیستم های آلوده با شمارش معکوس ظرف 60 ثانیه
بازآغازی می شوند. مایکروسافت
روش پاک کردن دستی این کرم را نیز
آموزش داده است.
|