SG.hu
Közepesen veszélyes a Sasser.d féreg
Az AVERT, a Network Associates vírusszakértői csoportja a "közepesen veszélyes" kategóriába sorolta a W32/Sasser.worm féreg d változatát.
A Sasser.worm.d a múlt héten felfedezett vírus legújabb változata, amely a Microsoft MS04-011 kódjelű sérülékenységét használja ki. A közlemény szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt közepes veszélyt jelent. A besorolást az előfordulások gyakorisága tette indokolttá. A vírus a Microsoft MS04-011 kódjelű sérülékenységét használja ki, lassan de teljesen automatikusan terjed, és az internethez csatlakoztatott számítógépek véletlenszerűen generált IP című, frissítetlen Windows 2000 és XP rendszereit próbálja megfertőzni.
Ha a vírus egy védtelen gépet talál, parancssori hozzáférést nyit a 9995-os TCP porton, majd FTP segítségével a gépre tölti magát. Ezután létrehoz egy FTP kódot (cmd.ftp) a távoli szerveren, és lefuttatja azt. Ez az FTP program utasítja a fertőzött rendszert, hogy töltse le, (és hajtsa végre) a programot az 5554-es FTP porton. A vírus SKYNETAVE.EXE néven másolja magát a Windows rendszerkönyvtárba:
%WinDir%\ SKYNETAVE.EXE
A következő indításkor a vírus az alábbi kulcs segítségével tölti be magát:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "skynetave.exe" = %WinDir%\skynetave.exe
A Sasser.worm.d egy win2.log nevű fájlt is létrehoz a C: meghajtón. Ez a fájl tartalmazza a localhost IP címét. Már a véletlenszerű keresés is a rendszer összeomlását okozhatja - ilyenkor Windows 2000 esetén felbukkan egy 60 másodperces visszaszámlálást jelző ablak:
A Windows XP rendszereken a következő hibaüzenet jelenik meg:
A Sasser.worm.d a múlt héten felfedezett vírus legújabb változata, amely a Microsoft MS04-011 kódjelű sérülékenységét használja ki. A közlemény szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt közepes veszélyt jelent. A besorolást az előfordulások gyakorisága tette indokolttá. A vírus a Microsoft MS04-011 kódjelű sérülékenységét használja ki, lassan de teljesen automatikusan terjed, és az internethez csatlakoztatott számítógépek véletlenszerűen generált IP című, frissítetlen Windows 2000 és XP rendszereit próbálja megfertőzni.
Ha a vírus egy védtelen gépet talál, parancssori hozzáférést nyit a 9995-os TCP porton, majd FTP segítségével a gépre tölti magát. Ezután létrehoz egy FTP kódot (cmd.ftp) a távoli szerveren, és lefuttatja azt. Ez az FTP program utasítja a fertőzött rendszert, hogy töltse le, (és hajtsa végre) a programot az 5554-es FTP porton. A vírus SKYNETAVE.EXE néven másolja magát a Windows rendszerkönyvtárba:
A következő indításkor a vírus az alábbi kulcs segítségével tölti be magát:
A Sasser.worm.d egy win2.log nevű fájlt is létrehoz a C: meghajtón. Ez a fájl tartalmazza a localhost IP címét. Már a véletlenszerű keresés is a rendszer összeomlását okozhatja - ilyenkor Windows 2000 esetén felbukkan egy 60 másodperces visszaszámlálást jelző ablak:
A Windows XP rendszereken a következő hibaüzenet jelenik meg: