Alert! W32.Sasser.*.Worm!
5714
18

Всем!!

Появился новый червяк, который распространяется наподобии бластера! Ломает lsass (дырка описана в буллетине MS04-011).

Ломает по порту 445, запускает внутренний FTP-сервак на 5554, а удаленный шелл на 9996. Дальше ломится по айпишниками разным.


Этих червяков уже 3 (мутируют).

W32.Sasser.Worm (3)
W32.Sasser.B.Worm (4)
W32.Sasser.C.Worm (2)

(В скобочках указан уровень тревоги по-симантеку на момент написания этого поста).

Судя по информации с сайта Microsoft:

Software Affected by This Worm
  • Microsoft Windows XP and Windows XP Service Pack 1
  • Windows 2000 Service Pack 2, Windows 2000 Service Pack 3, and Windows 2000 Service Pack 4


Software Not Affected by This Worm
  • Windows XP 64-Bit Edition Version 2003
  • Windows Server™ 2003
  • Windows XP 64-Bit Edition Service Pack 1
  • Windows Millennium Edition
  • Windows 98 Second Edition
  • Windows 98
  • Windows NT® 4.0 Service Pack 6a
На странице буллетина есть ссылки на патчики. Так же есть Sasser Removal Tool (вычищает Sasser и Sasser.B), для C симантек пока не выпустил, но написано, как удалять ручками.

Фуфф :). Слава богу я патчусь вовремя.... А в локалке у нас сейчас эпидемия...
netghost
Эпидемия как раз началась 1 мая. Комп у меня жил просто своей жизнью :ха-ха!:. Сейчас вроде патчики поставила, все вернулась на свои места.
Люди, будьте бдительны! :ха-ха!:
У нас просто полсетки сидят зараженные :безум:
netghost
А я то уже 3-й день читаю этот форум, пытаюсь выяснить. что с ХРенью случилось:хммм:
При обращениях к HDD (WinCMD или Explorer) виснет намертво..:хммм:Уже ХР переставил бестолку...

Спасибо за сообщение! :live:
netghost
А у меня никаких проблем:улыб:
Все чинно-благородно, по-старому (с)

Norton сам ходит обновляться, Outpost дает волю только тому, чему я сам разрешил. Заплатку скачал, поставил... Так что, на этот раз "не в меня":улыб:
netghost
>>> Этих червяков уже 3 (мутируют).

W32.Sasser.Worm (3)
W32.Sasser.B.Worm (4)
W32.Sasser.C.Worm (2)


Ндя.... Уже 4....
Появился Sasser.D

Кстати, текущая версия FxSasser.exe (ссылка есть выше) уже справляется и с C-, и с D-мутациями.
netghost
Фарволом давить,
deny tcp from any to me 1-1024

Зато хотьприличное описание дали, что за червь, и как ползает...
А то меня тут продвинутые юзвери пугнули, описание попсовое, понял только, что будет ломиться куда-нить RPC-LSASS, посему и не напрягся...

---
Full
-------
... Баба с возу - потехе час.
Full
Фарволом давить,
deny tcp from any to me 1-1024
Аха и будем жить без почты, днс и т.д и т.п. :улыб:
RAGE
Почта и DNS не должны работать на платформе win32, ибо не для нее они в свое время были рождены:улыб:
VinD
deny tcp from any to me 1-1024
Это как раз с фришного файрвола
RAGE
Да с чего бы ради то?
Мои запросы на днс ходят выше 1024 порта. Почту разрешить? Ну бога ради...
принципиальные куски файрвола:
==== кусь ====
############################################
# Setup loopback
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.1/8
${fwcmd} add 300 deny all from 127.0.0.1/8 to any

############################################
# deny and REJECT rules block
# Stop spoofing
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

##############################################
# Count ip for outside traffic (full statistic)
${fwcmd} add count all from any to any in via ${oif}

###############################################
# Allow POP3, SMTP
${fwcmd} add pass tcp from any to ${oip} pop3
${fwcmd} add pass tcp from any to ${oip} smtp
${fwcmd} add pass tcp from ${oip} pop3 to any
${fwcmd} add pass tcp from ${oip} smtp to any
# deny all low services
${fwcmd} add deny tcp from any to ${oip} 1-1024
${fwcmd} add deny udp from any to ${oip} 1-1024
# deny indide services from onet
${fwcmd} add deny log tcp from not ${inet}:${imask} to me 20,21,80,119,3128......

# Allow DNS resolving in local network
${fwcmd} add pass tcp from ${inet}:${imask} to ${iip} domain setup in via ${iif}
${fwcmd} add pass udp from ${inet}:${imask} to ${iip} domain in via ${iif}
${fwcmd} add pass udp from ${iip} domain to ${inet}:${imask} out via ${iif}
${fwcmd} add deny udp from ${inet}:${imask} to any 53

#################################################
# Allow for router connections
# Allow DNS queries out in the world
${fwcmd} add 50000 pass udp from ${oip} to any 53 keep-state
=== наелся ===

---
Full
-------
... Любишь кататься - люби и катайся.
netghost
а вот если бы еще и про патчи подвесили подобный топик, зараженных

было бы, хоть чуть-чуть, да поменьше :-)

ugly
А разве хождение на виндовсапдейт уже запретили???
netghost
Тэкс ! Что-то сцылочку Симантек похерил походу...
Есть эта затея у кого - кинтесь рабочим линком !
YURСНА
Да нет, у меня прекрасно работает.
Deft
НП
Вот еще одна хреновина похожая на сассер.
Barlog
Интересно, а про апдейты виндовозные все забыли?, или отключили галочку чтоб трафик не жрала и спим спокойно?)
demosfen
Это ты мне или просто было желание высказатся вслух? Если мне - то ты ошибся адресом. Причем капитально ошибся.:миг:
Barlog
Пардон, не тебе, так вышло)). Высказал, так сказать свою солидарность.
Full
Мои запросы на днс ходят выше 1024 порта. Почту разрешить? Ну бога ради...
принципиальные куски файрвола:
==== кусь ====
############################################
# Setup loopback
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.1/8
${fwcmd} add 300 deny all from 127.0.0.1/8 to any

############################################
# deny and REJECT rules block
# Stop spoofing
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

##############################################
А можно ссылочку на инфу по которой я ничего из перечисленного не зная смог бы хоть немного в этом разобраться?
У меня зон лаб стоит, но там тоже есть возможность использовать правила некоторые, только я не соображаю как это корректно делать.