Sasser, se un worm va all'attacco

Si sta sviluppando l'infezione del primo worm capace di sfruttare una delle recenti vulnerabilità di Windows. L'emulo di Blaster è claudicante ma i suoi figli potrebbero rivelarsi molto insidiosi. Oggi è giorno di massima allerta

Sasser, se un worm va all'attaccoRoma - Il suo arrivo era stato previsto da settimane e ora gli esperti di sicurezza hanno davvero avvistato il primo worm in grado di sfruttare una delle recenti vulnerabilità di Windows, quella relativa al Local Security Authentication Server (LSASS), per rendere instabili sistemi con Windows 2000 o XP.

Il worm, battezzato Sasser, s'ispira al famigerato Blaster e, come quest'ultimo, scansiona a intervalli di tempo un certo numero di indirizzi IP alla ricerca di computer vulnerabili: dopo averne trovato uno, il worm crea una connessione remota al sistema, vi installa un server FTP e vi trasferisce una copia di se stesso.

Così com'è, questo worm non sembra destinato a fare molta strada. La società eEye Digital Security ha infatti spiegato che il codice del nuovo vermicello è scritto male e contiene un certo numero di bug che ne inficiano la funzionalità. Gli esperti avvertono tuttavia che la consapevolezza di utenti ed amministratori in materia di sicurezza non è ancora in grado di scongiurare un possibile acuirsi di questa epidemia, e ciò nonostante la patch capace di bloccare il worm sia disponibile ormai da tempo.
Secondo softwarehouse specializzate com F-Secure, in due giorni Sasser avrebbe già fatto molta strada in rete, grazie soprattutto alla sua capacità di diffondersi da computer vulnerabile a computer vulnerabile, senza bisogno di ricorrere alla replicazione via email, la più frequente metodologia di diffusione nei worm di questi anni.

Va detto, comunque, che Sasser può provocare solo poco più di qualche fastidio in quanto si limita a mandare in crash il sistema operativo e riavviarlo più volte. Al contrario di altri worm che in questo periodo hanno trovato modo di diffondersi, Sasser non mira a creare backdoor o vulnerabilità permanenti nei sistemi colpiti, una situazione che rende ancora più difficile secondo gli osservatori comprendere le motivazioni del virus writer che ha realizzato il codice claudicante di Sasser.

Anche per questo il SANS Institute afferma che, al momento, rappresenta una minaccia più grande la famiglia di bot Ago/Gao/Phatbot, capace di sfruttare le recenti falle nei componenti RPC/LSASS e RPC/DCOM di Windows. Questi programmi, seppure incapaci di riprodursi autonomamente, possono dare la possibilità ai cracker di prendere il pieno controllo di un sistema vulnerabile e utilizzarlo come testa di ponte per attacchi su vasta scala.

In ogni caso, gli esperti affermano di non voler sottovalutare il pericolo rappresentato da Sasser, soprattutto perché nei prossimi giorni potrebbero arrivarne nuove e più evolute versioni che, migliorando il codice del worm originale, potrebbero renderlo assai più insidioso.

Con la giornata di oggi, in cui dopo la pausa riprendono le attività moltissimi uffici, inoltre, alcuni esperti temono una ondata di Sasser che potrebbe a questo punto colpire anche in Italia.

Secondo le informazioni divulgate dalle case antivirus, Sasser genera traffico sulle porte TCP 445, 5554 e 9996 e si trasferisce da un sistema all'altro attraverso il file eseguibile avserve.exe. Per altre informazioni si rimanda all'advisory pubblicato dall'Internet Storm Center.
TAG: sicurezza
217 Commenti alla Notizia Sasser, se un worm va all'attacco
Ordina
  • Da quanto ho letto Sasser dovrebbe colpire solamente i sistemi operativi da windows 2000 in avanti perchè quelli più vecchi non hanno nemmeno la LSASS.
    Eppure ad una amica che ha il 98 un qualche virus somigliante al sasser sta provocando problemi:
    dopo aver aperto una mail di DNA-concerti il computer ha iniziato a spedire mail a indirizzi casuali e ogni mail viene scansionata con norton che però le invia tranquillamente. Il problema è che il browser non funziona quasi più e la connessione adesso è lentissima. Windows update non funziona e nemmeno il live update della norton.
    Avete qualche consiglio da darmi?
    Si tratta di un virus da niente o è una modifica del sasser?
    non+autenticato
  • Dunkue...
    una delle mie principali attività è quella di tecnico riparatore pc.
    Quando escono stì nuovi virus, mi arriva un sakko di lavoro.
    Quindi...
    andrò contro tendenza ma sono molto felice che esistano,
    dal momento che altrimenti farei la fame!A bocca aperta
    Se posso dare un consiglio, la maggiorparte dei virus si pigliano scaricando la posta con outlook: esistono software, come mailwasher e popcorn, che permettono di vedere la posta in arrivo senza scaricarla dal server pop: grazie ad essi, infatti, è possibile visualizzare l'HEADER di ogni messaggio, verificandone il mittente, il destinatario e che tipo di file sia presente in allegato. In questo modo i virus sono facilissimamente individuabili e cancellabili prima di ritrovarseli sul PC. Una volta, per evitare i virus, bastava semplicemente usare telnet, che però per molti poteva risultare scomodo e complicato. Visto che ora ci sono i mezzi sarebbe bene che i pigri rinunciassero a qualche automatismo e fossero più consapevoli di ciò che utilizzano!Occhiolino
  • Anke io....

    pero' per la posta consiglio

    http://www.npopsupport.fsworld.co.uk/

    NPOP.... stesse cose che hai detto tu ma...... solo 90 Kb

    Ciao
  • ...non sarebbe + semplice impostare il mail-client per ricevere la posta in text format....;)
    non+autenticato
  • vedi se riesci a godere nell'estirpare dal mio sistema il file dpe.dll responsabile dei dirottamenti e cambio pagina iniziale del mio browser e non sò cos'altro!!
    non+autenticato
  • Installa spybot e risolverai i tuoi problemi

  • - Scritto da: Tirighetta
    > Installa spybot e risolverai i tuoi problemi

    Spesso spybot non basta, soprattutto per il problema della pagina iniziale che continua a cambiare al soto che vuole lei.
    non+autenticato
  • - Scritto da: teobaz

    > Dunkue...
    > una delle mie principali attività
    > è quella di tecnico riparatore pc.
    > Quando escono stì nuovi virus, mi
    > arriva un sakko di lavoro.
    > Quindi...
    > andrò contro tendenza ma sono molto
    > felice che esistano,
    > dal momento che altrimenti farei la fame!A bocca aperta

    Bello schifo, complimenti, belle idee da quello che dovrebbe essere un professionista a cui chiedere consiglio.

    E per fortuna non fai il meccanico, altrimenti saresti di quelli che ti mettono i pezzi di ricambio gio mezzi rotti cosi' hai di nuovo problemi torni presto a farti rubare altri soldi.
    non+autenticato

  • - Scritto da: Anonimo
    > - Scritto da: teobaz
    >
    > > Dunkue...
    > > una delle mie principali attività
    > > è quella di tecnico riparatore
    > pc.
    > > Quando escono stì nuovi virus, mi
    > > arriva un sakko di lavoro.
    > > Quindi...
    > > andrò contro tendenza ma sono
    > molto
    > > felice che esistano,
    > > dal momento che altrimenti farei la
    > fame!A bocca aperta
    >
    > Bello schifo, complimenti, belle idee da
    > quello che dovrebbe essere un professionista
    > a cui chiedere consiglio.
    >
    > E per fortuna non fai il meccanico,
    > altrimenti saresti di quelli che ti mettono
    > i pezzi di ricambio gio mezzi rotti cosi'
    > hai di nuovo problemi torni presto a farti
    > rubare altri soldi.


    Beh... ha detto che è contento che escano nuovi virus, mica che li scrive lui o che i PC li mette a posto male...
    Semmai il paragone sarebbe con un meccanico contento perchè le strade sono tutte a buchi... mica vuol dire che il meccanico esce di notte con un piccone sulle spalle...

    Per il resto, quale parte di "Se posso dare un consiglio" non hai capito ?

    Per finire se aggredisci così uno che si limita a rimettere in sesto i PC allora cosa ne dici di quelli che vendono a caro prezzo dei software così bacati da permettere questa proliferazione di virus ?

    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > - Scritto da: teobaz
    > >
    > > > Dunkue...
    > > > una delle mie principali
    > attività
    > > > è quella di tecnico
    > riparatore
    > > pc.
    > > > Quando escono stì nuovi
    > virus, mi
    > > > arriva un sakko di lavoro.
    > > > Quindi...
    > > > andrò contro tendenza ma
    > sono
    > > molto
    > > > felice che esistano,
    > > > dal momento che altrimenti farei la
    > > fame!A bocca aperta
    > >
    > > Bello schifo, complimenti, belle idee da
    > > quello che dovrebbe essere un
    > professionista
    > > a cui chiedere consiglio.
    > >
    > > E per fortuna non fai il meccanico,
    > > altrimenti saresti di quelli che ti mettono
    > > i pezzi di ricambio gio mezzi rotti cosi'
    > > hai di nuovo problemi torni presto a farti
    > > rubare altri soldi.

    > Beh... ha detto che è contento che
    > escano nuovi virus, mica che li scrive lui o
    > che i PC li mette a posto male...
    > Semmai il paragone sarebbe con un meccanico
    > contento perchè le strade sono tutte
    > a buchi... mica vuol dire che il meccanico
    > esce di notte con un piccone sulle spalle...

    > Per il resto, quale parte di "Se posso dare
    > un consiglio" non hai capito ?

    > Per finire se aggredisci così uno che
    > si limita a rimettere in sesto i PC allora
    > cosa ne dici di quelli che vendono a caro
    > prezzo dei software così bacati da
    > permettere questa proliferazione di virus ?

    Lo aggredisco come aggreidei il mio meccanico se con le strade tutte buchi mi consigliasse di comprarmi un'auto sportiva con gli ammortizzatori di burro, invece di consigliarmi una jeep.

    Personalmente ne' uso ne' consiglio di usare i SO bacati, a prezzo di imparare qualche informazione in pu' ci sono SO molto piu' sicuri.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > > > - Scritto da: teobaz
    > > >
    > > > > Dunkue...
    > > > > una delle mie principali
    > > attività
    > > > > è quella di tecnico
    > > riparatore
    > > > pc.
    > > > > Quando escono stì nuovi
    > > virus, mi
    > > > > arriva un sakko di lavoro.
    > > > > Quindi...
    > > > > andrò contro tendenza
    > ma
    > > sono
    > > > molto
    > > > > felice che esistano,
    > > > > dal momento che altrimenti
    > farei la
    > > > fame!A bocca aperta
    > > >
    > > > Bello schifo, complimenti, belle
    > idee da
    > > > quello che dovrebbe essere un
    > > professionista
    > > > a cui chiedere consiglio.
    > > >
    > > > E per fortuna non fai il meccanico,
    > > > altrimenti saresti di quelli che
    > ti mettono
    > > > i pezzi di ricambio gio mezzi
    > rotti cosi'
    > > > hai di nuovo problemi torni presto
    > a farti
    > > > rubare altri soldi.
    >
    > > Beh... ha detto che è contento
    > che
    > > escano nuovi virus, mica che li scrive
    > lui o
    > > che i PC li mette a posto male...
    > > Semmai il paragone sarebbe con un
    > meccanico
    > > contento perchè le strade sono
    > tutte
    > > a buchi... mica vuol dire che il
    > meccanico
    > > esce di notte con un piccone sulle
    > spalle...
    >
    > > Per il resto, quale parte di "Se posso
    > dare
    > > un consiglio" non hai capito ?
    >
    > > Per finire se aggredisci così
    > uno che
    > > si limita a rimettere in sesto i PC
    > allora
    > > cosa ne dici di quelli che vendono a
    > caro
    > > prezzo dei software così bacati
    > da
    > > permettere questa proliferazione di
    > virus ?
    >
    > Lo aggredisco come aggreidei il mio
    > meccanico se con le strade tutte buchi mi
    > consigliasse di comprarmi un'auto sportiva
    > con gli ammortizzatori di burro, invece di
    > consigliarmi una jeep.
    >
    > Personalmente ne' uso ne' consiglio di usare
    > i SO bacati, a prezzo di imparare qualche
    > informazione in pu' ci sono SO molto piu'
    > sicuri.

    Scusami, ma tu quando compri un'auto ti rivolgi ad un meccanico ? Io vado da un concessionario... dal meccanico ci vado quando l'auto è rotta, e se ho preso un'auto sbagliata il meccanico non ne può nulla.

    Per il resto i consigli dell'autore del post mi sembrano ben chiari. Mi sembra anche ovvio che lui sia ben contento quando la gente non segue i suoi consigli... oppure dovrebbe essere così ipocrita da disperarsi delle ondate periodiche di lavoro (e quindi guadagno) extra ?
    non+autenticato
  • 8)Per prima cosa vorrei ricordarVi che:
    Chiunque può inserire la propria opinione in uno qualsiasi dei forum attivi su Punto Informatico senza bisogno di registrazione o autenticazione purché si attenga alle seguenti condizioni, l'utilizzo dei servizi messi a disposizione su Punto Informatico ne implica l'approvazione."
    I testi dei messaggi non devono però contenere pubblicità, né devono essere pensati per offendere un altro lettore, un redattore, un altro sito o chicchessia. Non devono ledere dunque la dignità altrui né essere palesemente fuori tema (off-topic).
    Detto questo, cosa ne dite di aprire un po' gli occhi?
    Questa è una semplice osservazione volta a chi non ha meglio da fare che inventare diavolerie varie (Virus, Worm, Trojan, ecc.) per mettere a nudo le debolezze di un qualsiasi sistema operativo. Se la mente non mi inganna era quello che un tempo facevano gli hacker di professione; ma veniamo al dunque. E' un caso che il codice sorgente di Windows 2000 sia finito in rete? Credo che a riguardo ci siano dei seri dubbi. Quanto avrebbe dovuto spendere Microsoft per testare la sicurezza di sistemi operativi come Windows 2000 e suoi derivati come Xp? Adesso grazie all'attività svolta (GRATIS) dai buontemponi prima citati, Zio Bill sta ottenendo un debug senza pari dei propri sistemi e operativi e affini. Non sarebbe il caso di aprire un po' gli occhi?

    ==================================
    Modificato dall'autore il 04/05/2004 10.20.26
  • ...il punto non è questo secondo me !
    Zio Bil ti dice qualche settimana prima del casino (il virus che scrivono poi loro a Redmond insieme a Symantec e TrendMicro) che devi installare la fix per un buco che chissacomemai ad un certo punto spunta come un fungo !!

    Ora tu che fai ?
    1) La installi ed allora sei ok
    2) Non la installi e sei morto
    3) La installa un altro che ti chiede 3000euri per il servizio PROFESSSSSSSSSSSSSSional !!


    Al limite si può parlare del pizzo da pagare a Bill e alle solite società che speculano sulla coglioneria degli utenti (vedi i vari amici della sechiuriti !!!!!!)...
    TUTTO COME SEMPRE SI FA SOLO PER SOLDINI; SICCOME OGGI I SOLDINI PER indennet SONO FINITI I SANTONI DELL'IT merigheno SI SONO INVENTATI "i problemi della sechiuriti...." !!!!!!!!!!!!!!
    UN VERO MONDO DI CLOWN ...

    :|
    non+autenticato
  • Perlomeno, quelle della mia citta'.
    Ho mandato loro una mail di complimenti, di sfotto' e qualche link per risolvere il problema e mi hanno risposto mandando un allegato .DOC (microsoft continua a ringraziare) di 400 KB (piu' encoding) nella quale c'erano 3 (tre) righe contenenti la richiesta di identificazione, cioe' volevano sapere il mio nome e cognome per fornirmi assistenza!
    Che banda di newbie cialtroni.DelusoPerplessoTristeA bocca storta
    non+autenticato

  • - Scritto da: Anonimo
    > Perlomeno, quelle della mia citta'.
    > Ho mandato loro una mail di complimenti, di
    > sfotto' e qualche link per risolvere il
    > problema e mi hanno risposto mandando un
    > allegato .DOC (microsoft continua a
    > ringraziare) di 400 KB (piu' encoding) nella
    > quale c'erano 3 (tre) righe contenenti la
    > richiesta di identificazione, cioe' volevano
    > sapere il mio nome e cognome per fornirmi
    > assistenza!
    > Che banda di newbie cialtroni.DelusoPerplessoTristeA bocca storta

    ...tu avrai riso...ma, a me viene da piangere...:\A bocca stortaA bocca storta

    Fan Apple
    non+autenticato
  • ...non ho l'antivirus, ho solo attivato il firewall integrato di derivazione unix, sono collegato alla linea adsl permanentemente...che dite, corro dei rischi?

    PS: ovviamente nota ironica...
    non+autenticato
  • Beh, ora non credere che sotto winblows occorra avere firewall e patch per non correre rischi.
    Io ho semplicemente chiuso a manina tutte le porte aperta (compresa la 445) e non ho mai avuto nessun tipo di problema, blaster e sasser per me sono solo divertimento.
    Tutto sta nell'utilizzare il computer come un computer o come un frigorifero.
    non+autenticato

  • - Scritto da: Anonimo
    > Beh, ora non credere che sotto winblows
    > occorra avere firewall e patch per non
    > correre rischi.
    > Io ho semplicemente chiuso a manina tutte le
    > porte aperta (compresa la 445) e non ho mai
    > avuto nessun tipo di problema, blaster e
    > sasser per me sono solo divertimento.
    > Tutto sta nell'utilizzare il computer come
    > un computer o come un frigorifero.

    ...chiuso a manina tutte le porte aperte?... partivi per le vacanze? e le "finestre" le hai chiuse?... magari!!

    scusa l'ironia...ma penso che un Firewall one-click-and-go sia meglio... ed ottieni lo stesso risultato... per non parlare del fatto che comunque sul Mac (come su Linux) le "porte" di default sono tutte chiuse vengono aperte solo all'attivazione del servizio che le usa...perché Wincess non copia anche questo al Mac?

    Fan Apple
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Beh, ora non credere che sotto winblows
    > > occorra avere firewall e patch per non
    > > correre rischi.
    > > Io ho semplicemente chiuso a manina
    > tutte le
    > > porte aperta (compresa la 445) e non ho
    > mai
    > > avuto nessun tipo di problema, blaster e
    > > sasser per me sono solo divertimento.
    > > Tutto sta nell'utilizzare il computer
    > come
    > > un computer o come un frigorifero.
    >
    > ...chiuso a manina tutte le porte aperte?...
    > partivi per le vacanze? e le "finestre" le
    > hai chiuse?... magari!!
    >
    > scusa l'ironia...ma penso che un Firewall
    > one-click-and-go sia meglio... ed ottieni lo
    > stesso risultato... per non parlare del
    > fatto che comunque sul Mac (come su Linux)
    > le "porte" di default sono tutte chiuse
    > vengono aperte solo all'attivazione del
    > servizio che le usa...perché Wincess
    > non copia anche questo al Mac?
    >
    > Fan Apple


    Perché non ne sono capaci, da 15 anni cercano di copiare QuickTime (la piattaforma di authoring, non il player...) e non ci riescono, figurati arrivare a capire che il default DEVE essere la situazione con meno problemi....
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | Successiva
(pagina 1/8 - 38 discussioni)