Wirus - Sasser.D
Również znany jako: Worm.Sasser.D
Typ: robak
Długość: 16384
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie
Sasser.D jest robakiem internetowym, wykorzystującym do rozprzestrzeniania się błąd w systemie Windows opisany w biuletynie Microsoftu MS04-011 .
Robak tworzy swoją kopię na dysku w pliku skynetave.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows. Robak uruchamia również na zainfekowanej maszynie serwer FTP działający na porcie 5554 .
Następnie robak łączy się z komputerami, których adresy IP wybiera losowo. Jeżeli komputery te działają pod kontrolą jednego z następujących systemów: Windows NT/2000/XP/2003 Server oraz nie są zabezpieczone odpowiednią łatą robak, łącząc się przez port 445 ze zdalnym komputerem, uruchamia kod powodujący pobranie kopii robaka z atakującego komputera z uruchomionym serwerem FTP. Pobrane kopie zapisywane są na dysku w plikach o nazwie [4-5 losowych cyfr]_up.exe
Działanie robaka może objawiać się dużym spowolnieniem działania systemu Windows.
Aby usunąć robaka należy:
- pobrać i zainstalować łatę ze strony Microsoftu dla odpowiedniego systemu Windows:
- pobrać i uruchomić program MksClean.exe
Sasser.D jest wykrywany oprogramowaniem mks_vir z bazą wirusów z dnia 2004-05-04 i nowszymi.
Materiały pobrane ze strony firmy MKS Sp. z o.o. |
