Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Le quattro varianti di Sasser

Sono quattro le versioni del worm Sasser scoperte sino al 4 maggio. Tutte leggermente diverse e modificate per amplificare l'azione distruttrice del wrom. Solo va versione B fa paura
Sono quattro le versioni del worm Sasser scoperte sino al 4 maggio. Tutte leggermente diverse e modificate per amplificare l'azione distruttrice del wrom. Solo va versione B fa paura
Link copiato negli appunti

Le versioni del worm Sasser rinvenute dalle case produttrici di antivirus sono ad oggi quattro. La prima versione è ricondotta da Symantec al 30 aprile, l'ultima risale al 3 maggio. Le versioni sono molto simili tra loro anche se il codice del virus è stato rimaneggiato per renderlo, con minimo successo, più distruttivo.

Sasser.A
È la prima versione del worm, datata 30 aprile. Il file creato si chiama avserve.exe e lancia 128 operazioni parallele per tentare di infettare i computer. Funziona correttamente su sistemi Windows 2000 e Windows XP. Symatec classifica il livello di pericolo a 3 su una scala di 5; Trend Micro lo classifica di pericolosità Medio-Alta.

Sasser.B
È la versione più pericolosa: 4 nella scala di Symantec, Altamente Critica in quella di Trend Micro. Il worm è quasi identico alla versione A, se non fosse per il diverso nome dell'eseguibile (aserve2.exe) e del file contenente gli indirizzi IP (win2.log al posto di win.log). La versione B aveva probabilmente l'intenzione di intensificare l'infezione creando due diversi processi di esecuzione oppure di infettare i computer non ancora colpiti dalla prima versione.

Sasser.C
Nel tentativo di allargare il numero di PC colpiti, la versione C del worm accresce il numero di processi attraverso cui i computer infetti cercano altre vittime. Erano 128 nelle prime due versioni, sono 1024 nella versione C. Il nome dell'eseguibile resta aserve2.exe, come nella versione B. Symatec non va oltre un livello di pericolo 2.

Sasser.D
L'intenzione è quella di velocizzare il processo di diffusione del worm, considerata la bassa diffusione di Sasser.C. I processi paralleli tornano a essere 128 mentre viene aggiunta una nuova funzionalità che consente di verificare, prima di sferrare l'attacco, se il computer da aggredire sia raggingibile oppure no (attraverso un semplice 'ping'). Il nome dell'eseguibile passa a skynetave.exe e la porta di comunicazione per la creazione del server FTP diventa, dalla 9996, la 9995. Anche per Sasser.D il livello di pericolo di Symantec è 2.

Il worm, come è stato notato immediatamente dagli esperti di sicurezza, poteva essere ancor più pericoloso. Errori di programmazione e una "tecnica" di diffusione rozza ne hanno attenuato l'effetto. Sasser.D, per fare un esempio, non risulta efficace sui sistemi Windows 2000.

Sebbene ci si possa attendere una nuova versione, la E, i tanti che non hanno installato la patch MS04-11 e che hanno ricevuto il worm, stanno in queste ore proteggendo i propri computer, rendendoli inefficaci anche ad attacchi successivi. Nel frattempo i ritmi dell'infezione calano vistosamente, segno che i processi di rimozione stanno facendo il loro effetto.


Ti consigliamo anche