Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2004 > CERT-FI varoitus 32/2004

CERT-FI varoitus 32/2004

1.5.2004

Windows LSASS-haavoittuvuutta hyväksikäyttävä Sasser-verkkomato leviää

Microsoft Windows käyttöjärjestelmän LSASS-haavoittuvuutta hyväksikäyttävä verkkomato Sasser on aloittanut leviämisen 1.5. aamulla Suomen aikaa. Sasser-mato leviää suoraan verkon välityksellä haavoittuvaan kohdejärjestelmään TCP-portin 445 kautta. Mato etsii haavoittuvia järjestelmiä satunnaisesti valitsemistaan IP-osoitteista.

Saastuneissa järjestelmissä Sasser-mato käynnistää takaportin TCP-porttiin 9996 ja FTP-palvelun porttiin 5554. Saastunut järjestelmä lataa haittaohjelmakoodin tartunnan aiheuttaneen järjestelmän FTP-palvelusta.

Mato lisää Windows-hakemistoon tiedoston avserve.exe ja rekisteriin asetuksen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe.

Tietojärjestelmän saastuessa Sasser-mato aiheuttaa LSASS-palvelun kaatumisen, joka oletusarvoisesti aiheuttaa tietojärjestelmän uudelleen käynnistymisen.

Sasser-madosta on ilmestynyt myös B, C ja D -variantit. Sasser.B-variantti lisää Windows-hakemistoon avserve2.exe nimisen tiedoston. Sasser.C-variantti käynnistää saastuneessa tietojärjestelmässä 1024-prosessia, joita se käyttää leviämiseensä saastuneesta tietojärjestelmästä toiseen. Tämä voi vaikuttaa mm. C-variantin leviämisnopeuteen. Sasser.C -variantti käyttää saastuneessa tietojärjestelmässä avserve2.exe ja win2.log -nimisiä tiedostoja. Sasser.D-variantti käyttää saastuneessa tietojärjestelmässä skynetave.exe-nimistä tiedostoa.

VAROITUKSEN KOHDERYHMÄ:

Microsoft Windows 2000 ja Windows XP käyttöjärjestelmät, joihin ei ole asennettu Microsoft turvapäivitystä MS04-11.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

  • Päivitä haavoittuva tietojärjestelmä VÄLITTÖMÄSTI Microsoft turvatiedotteen MS04-011 mukaisella päivityksellä.

  • Estä liikenne Internet-verkosta TCP-porttiin 445.

  • CERT-FI suosittelee liikenteen rajoittamista myös TCP-portteihin 9996 ja 5554.

  • Käytä ajantasaista virustorjuntaohjelmistoa.

LISÄTIETOA:

http://vil.nai.com/vil/content/v_125007.htm

http://www.f-secure.com/v-descs/sasser.shtml

http://www.f-secure.com/v-descs/sasser_b.shtml

http://www.f-secure.com/v-descs/sasser_c.shtml

http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-25.htm

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

http://www.sophos.com/virusinfo/analyses/w32sassera.html

PÄIVITYSHISTORIA:

01.05.2004: Julkaistu
02.05.2004: Lisätty maininta järjestelmän uudelleen käynnistymisestä saastumisen yhteydessä, tieto Sasser.B-variantista, sekä lisätty lisätietolähteisiin uusia linkkejä.
03.05.2004: Lisätty tieto Sasser.C-variantista sekä sen sisältämistä ominaisuuksista.
04.05.2004: Lisätty tieto Sasser.D-variantista
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio