Windows LSASS-haavoittuvuutta hyväksikäyttävä Sasser-verkkomato leviää

Microsoft Windows käyttöjärjestelmän LSASS-haavoittuvuutta hyväksikäyttävä verkkomato Sasser on aloittanut leviämisen 1.5. aamulla Suomen aikaa. Sasser-mato leviää suoraan verkon välityksellä haavoittuvaan kohdejärjestelmään TCP-portin 445 kautta. Mato etsii haavoittuvia järjestelmiä satunnaisesti valitsemistaan IP-osoitteista.

Saastuneissa järjestelmissä Sasser-mato käynnistää takaportin TCP-porttiin 9996 ja FTP-palvelun porttiin 5554. Saastunut järjestelmä lataa haittaohjelmakoodin tartunnan aiheuttaneen järjestelmän FTP-palvelusta.

Mato lisää Windows-hakemistoon tiedoston avserve.exe ja rekisteriin asetuksen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe.

Tietojärjestelmän saastuessa Sasser-mato aiheuttaa LSASS-palvelun kaatumisen, joka oletusarvoisesti aiheuttaa tietojärjestelmän uudelleen käynnistymisen.

Sasser-madosta on ilmestynyt myös B, C ja D -variantit. Sasser.B-variantti lisää Windows-hakemistoon avserve2.exe nimisen tiedoston. Sasser.C-variantti käynnistää saastuneessa tietojärjestelmässä 1024-prosessia, joita se käyttää leviämiseensä saastuneesta tietojärjestelmästä toiseen. Tämä voi vaikuttaa mm. C-variantin leviämisnopeuteen. Sasser.C -variantti käyttää saastuneessa tietojärjestelmässä avserve2.exe ja win2.log -nimisiä tiedostoja. Sasser.D-variantti käyttää saastuneessa tietojärjestelmässä skynetave.exe-nimistä tiedostoa.

Varoituksen kohderyhmä

Microsoft Windows 2000 ja Windows XP käyttöjärjestelmät, joihin ei ole asennettu Microsoft turvapäivitystä MS04-11.

Ratkaisu- ja rajoitusmahdollisuudet

  • Päivitä haavoittuva tietojärjestelmä VÄLITTÖMÄSTI Microsoft turvatiedotteen MS04-011 mukaisella päivityksellä.

  • Estä liikenne Internet-verkosta TCP-porttiin 445.

  • CERT-FI suosittelee liikenteen rajoittamista myös TCP-portteihin 9996 ja 5554.

  • Käytä ajantasaista virustorjuntaohjelmistoa.

Lisätietoa

http://vil.nai.com/vil/content/v_125007.htm

http://www.f-secure.com/v-descs/sasser.shtml

http://www.f-secure.com/v-descs/sasser_b.shtml

http://www.f-secure.com/v-descs/sasser_c.shtml

http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-25.htm

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

http://www.sophos.com/virusinfo/analyses/w32sassera.html

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248