W32.Sasser: rimozione e link utili
Rapida guida scritta da QNick per rimuovere i worm Sasser.A e Sasser.B (anche Sasser.C che è praticamente identico al Sasser.B nell'individuazione)
W32.Sasser.Worm (W32.Sasser.B.Worm)
Descrizione:
W32.Sasser.Worm is a worm that attempts to exploit the MS04-011 vulnerability. It spreads by scanning randomly-chosen IP addresses for vulnerable systems.
Systems Affected: Windows 2000, Windows Server 2003, Windows XP
Systems Not Affected: Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT
Dettagli tecnici:
When W32.Sasser.Worm runs, it does the following:
1. Attempts to create a mutex called Jobaka3l and exits if the attempt fails. This ensures that no more than one instance of the worm can run on the computer at any time.
2. Copies itself as %Windir%\avserve.exe. (* avserve2.exe nel caso della variante B)
Note: %Windir% is a variable. The worm locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
3. Adds the value:
"avserve.exe"="%Windir%\avserve.exe" (* come sopra)
to the registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
so that the worm runs when you start Windows.
4. Uses the AbortSystemShutdown API to hinder attempts to shut down or restart the computer.
5. Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts.
6. Attempts to connect to randomly-generated IP addresses on TCP port 445. If a connection is made to a computer, the worm sends shellcode to that computer which may cause it to run a remote shell on TCP port 9996. The worm then uses the shell to cause the computer to connect back to the FTP server on port 5554 and retrieve a copy of the worm. This copy will have a name consisting of 4 or 5 digits followed by _up.exe (eg 74354_up.exe).
The IP addresses generated by the worm are distributed as follows:
+ 50% are completely random
+ 25% have the same first octet as the IP address of the infected host
+ 25% have the same first and second octet as the IP address of the infected host.
The worm starts 128 threads that scan randomly-chosen IP addresses. This demands a lot of CPU time and as a result an infected computer may be so slow as to be barely useable.
Consigli per la rimozione
Il worm sfrutta una vulnerabilità del servizio lsass, descritta nel bollettino di sicurezza MS04-011 <http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx>.
Pertanto si rende necessario scaricare ed installare l'opportuna patch per ovviare al problema:
Patch ita Windows XP SP1 <http://download.microsoft.com/download/4/2/9/42988565-9dc5-4027-b4c4-fcbea69e2e5e/WindowsXP-KB835732-x86-ITA.EXE>
Patch ita Windows 2000 SP2/3/4 <http://download.microsoft.com/download/6/b/6/6b68ec3d-e68e-4f5d-b72e-048dff149282/Windows2000-KB835732-x86-ITA.EXE>
Patch ita Windows Server 2003 <http://download.microsoft.com/download/2/4/1/2416f7ac-be75-451a-bbc2-0a4b414bf42f/WindowsServer2003-KB835732-x86-ITA.EXE>
Il worm utilizza le porte TCP 445, 5554, 9996 pertanto si raccomanda di chiuderle utilizzando un firewall.
Utilizzare un tool di rimozione per eliminare il worm definitivamente (in entrambi i casi qui sotto, i tool rimuovono sia la versione normale che la variante B):
F-secure removal tool <ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.zip>
Symantec Removal tool <http://securityresponse.symantec.com/avcenter/FxSasser.exe>
Microsoft removal tool <http://support.microsoft.com/?kbid=841720>
Rimozione manuale:
1) Terminare il processo incriminato:
Aprire il task manager con Ctrl+Alt+Canc
Selezionare la scheda Processi
Cercare nella lista dei processi attivi il processo:
avserve.exe (avserve2.exe nel caso della variante B o C del virus)
qualsiasi processo dal nome formato da 4 o 5 numeri seguiti da _up.exe (es: 12345_up.exe)
Una volta trovato/i, selezionatelo/li e cliccate su Termina processo
Chiudete il task manager
2) Disabilitare temporaneamente il Ripristino di sistema, per evitare che tale servizio possa memorizzare sotto forma di backup anche il virus o alcune modifiche da esso indotte:
Cliccare col tasto dx del mouse sull'icona Risorse del computer, e scegliere proprietà; o, ancor più velocemente, premere contemporaneamente i tasti WinKey+Pausa.
Selezionare la scheda Ripristino configurazione di sistema
Selezionare Disattiva Ripristino configurazione di sistema su tutte le unità, e confermare cliccando su OK (ed eventuale ulteriore richiesta di conferma).
_N.B._:Una volta terminate tutte le operazioni, potremo riabilitarlo col il procedimento inverso.
3) Aggiornare il proprio antivirus
4) Effettuare una scansione completa del proprio sistema, alla ricerca dei possibili files infettati da tale virus
5) Aprire il registro di sistema ed eliminare dai processi caricati all'avvio del sistema il processo citato sopra:
Cliccare su Start, poi su Esegui e digitare regedit (si apre la finestra del registro di configurazione)
Sul pannello di sinistra, navigate sino alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Nel pannello di destra cancellate il valore "avserve.exe"="%Windir%\avserve.exe" (rispettivamente avserve2.exe)
Chiudete l'editor di registro
Novità su W32.Sasser
http://www.hwinit.net/modules/news/article.php?storyid=436
http://www.hwinit.net/modules/news/article.php?storyid=437
Il thread sarà costantemente aggiornato se ci saranno novità
Ciao
Autore del post : Eraser (hwupgrade.it)
aggiungo anche la guida microsoft :
http://www.microsoft.com/italy/security/incident/sasser.mspx
http://www.microsoft.com/italy/security/incident/sasser.mspx
Io direi anche di scrivere che il virus infetta anche il file host che si trova su c:\windows\system32\drivers\etc nel quale aggiunge indirizzi ip 127.0.0.1 ( che sarebbe l'ip del propio pc locale ) che servono per non far visualizzare pagine web dei siti di antivirus e per non far upgradare i vari antivirus. La soluzione è cancellare tutti i 127.0.0.1 che trovate sotto la stringa:
127.0.0.1 localhost
N.B. NON cancellate la stringa che ho scritto sopra
127.0.0.1 localhost
N.B. NON cancellate la stringa che ho scritto sopra