Worm.Win32.Sasser.a/b Опасность : средняя
Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows.
Ее описание приведено в Microsoft Security Bulletin MS04-011:
http://www.microsoft.com/technet/security/...n/MS04-011.mspx Червь написан на языке C/C++, с использованием компилятора Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.
Размножение:
При запуске червь регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
avserve.exe = %WINDIR%avserve.exe
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.
Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe",
где N - случайное число.
Патч тут:
http://www.microsoft.com/technet/security/...n/MS04-011.mspx Patch for WinXP (noSP, SP1):
http://www.microsoft.com/downloads/details...&displaylang=en Информация:
http://www.viruslist.com/index.html http://securityresponse.symantec.com/avcen...asser.worm.html http://us.mcafee.com/virusInfo/default.asp...&virus_k=125007 http://isc.sans.org/diary.php?date=2004-04-30 http://www3.ca.com/threatinfo/virusinfo/vi...s.aspx?id=39012 http://www.f-secure.com/v-descs/sasser.shtmlОфициальная инфа по червю Sasser от майкрософт:
http://www.microsoft.com/security/incident/sasser.aspТаблетка од дяди Пети Нортона
http://securityresponse.symantec.com/avcen...er/FxSasser.exeот Майкрософта:
http://download.microsoft.com/download/1/e...1720-ENU-V2.exeот каспера уже описывал как и что в теме
Лечим Netsky (I-Worm.NetSky.b-d)ftp://ftp.kaspersky.com/utils/clrav/