*Kingpin*
Lid
- Lid geworden
- 23 jan 2004
- Berichten
- 89.558
- Waarderingsscore
- 229
11 mei 2004
-----------------
SASSER.F - Worm in omloop
Type: Worm
Besturingssysteem: Windows 2000, Windows XP
Infectielengte: 74,752 bytes
Poorten: TCP 445, 5554, 9996
Infectiedoel: Ungepatchte systemen kwetstbaar aan de LSASS-uitbuiting - MS04-011.
Samenvatting:
- W32.Sasser.F.Worm is een variant van W32.Sasser.Worm. Deze worm tracht de LSASS kwetsbaarheid in Windows (berschreven in Microsoft Security Bulletin MS04-011 ) uit te buiten. De worm verspreidt zich door willekeurig geselecteerde IP-adressen te scannen op de kwetsbare (= niet gepatchte) systemen.
- W32.Sasser.F.Worm verschilt van de andere sasservarianten door:
* het gebruik van een andere mutex: billgate
* het gebruik van een andere bestandsnaam: napatch.exe
* de creatie van een andere registerwaarde:"napatch.exe."
(Opm: W32.Sasser.F.Worm kan lopen op Windows 95/98/Me computers, maar zal ze niet infecteren.
Desondanks kunnen ze wel gebruikt worden om andere kwetsbare systemen waarmee ze in contact komen, te besmetten. In dit geval gaat de worm zoveel bronnen verspillen, dat bepaalde programma's, inclusief de Sasser-verwijdertool, niet normaal uitgevoerd kunnen worden. Op Windows 95/98/Me computers moet de removaltool in veilige modus gedraaid worden.)
Preventie:
- Blokkeer TCP ports 5554, 9996, en 445
- Installeer de betreffende Microsoft patch (MS04-011) om de exploitatie van de kwetsbaarheid van buitenaf, te voorkomen
Technische details:
- De worm kan LSASS crashes veroorzaken en windows dwingen heroptestarten. In dat geval verschijnen volgende meldingen op het scherm:
Gevolgen:
Wanneer W32.Sasser.F.Worm uitgevoerd wordt, doet hij het volgende:
* maakt een mutex aan met de naam "billgate"
* kopieert zichzelf als %Windir%napatch.exe.
Opm: %Windir% is een variabele. De worm localiseert de Windows-installatie map (standaard is dit C:Windows of C:Winnt) en kopieert zichzelf naar die locatie
* voegt de waarde
"napatch.exe"="%Windir%napatch.exe"
toe aan de registry-key:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
waardoor de worm mee opstart met Windows
* gebruikt de AbortSystemShutdown API om pogingen de computer af te sluiten of te herstarten, te verhinderen.
* start an FTP server via TCP port 5554. Deze server wordt gebruikt om de worm naar andere systemen te verspreiden.
Oplossing
handmatige verwijdering (naar Trend Micro)of Symantec
* Identificatie van besmetting:
- Scan uw computer met een online scanner bv. Housecall
- Update uw antivirusscanner en voer vervolgens een scan uit.
(Het is aan te raden de functie Systeemgerstel tijdelijk uit te schakelen vermits bij infectie, Systeemherstel het virus, de worm of trojan op de computer gebackupt kan hebben en Windows externe programma's, dus ook virusscanners, ervan weerhoudt, aanpassingen in de herstelpunten te maken.
* Beeindig het kwaadaardig programma:
- Open de Windows Task Manager (taakbeheer) via CTRL+SHIFT+ESC,selecteer het tabbladje "processen".
- Localiseer in de lijst van de lopende processen de volgende processen: napatch.exe
en alle processen met een naam bestaande uit 4 of 5 cijfers gevolgd door _up.exe (vb: 74354_up.exe).
- Selecteer deze en druk vervolgens op de "beeindig dit proces" knop, herhaal dit voor alle kwaadaardige processen in de lijst van de lopende processen eerder vermeld.
- Contoleer of het kwaadaardig proces afgesloten is door de taskmanager te sluiten, opnieuw te openen en te controleren op bovengenoemde kwaadaardige processen.
* Verwijderen van Autostart Entries uit het register
(voorkomt uitvoering van de malware bij opstart)
Opm.: het is aangeraden, eerst een backup van uw register te maken alvorens aanpassingen uit te voeren!
- Open de Registry Editor. Dit doet u als volgt: klik Start > Uitvoeren, typ Regedit,druk Enter.
- Dubbelklik in het linkerpaneel het volgende:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
- Localiseer en verwijder vervolgens in het rechterpaneel de uitgang(en):
napatch.exe = "%Windows%napatch.exe"
(Opm.: %Windows% verwijst naar de Windows map C:Windows or C:WINNT.)
- Sluit de register editor.
(Opm.: Indien u de kwaadaardige processen niet kon beeindigen volgens de beschreven procedure, herstart dan uw systeem.)
Opm.: Removaltools voor de Sasser variant worden spoedig vernieuwd opdat ook variant Sasser.F door deze tool verwijderd kan worden.
(Bron: naar Symantec en Trend Micro)
-----------------------------------------------------------------------------
oorspronkelijke berichten zijn hier te vinden:
- Symantec: http://securityresponse.symantec.com/avcen...ser.f.worm.html
- Trend Micro: http://uk.trendmicro-europe.com/enterprise...e=WORM_SASSER.F
-----------------
SASSER.F - Worm in omloop
Type: Worm
Besturingssysteem: Windows 2000, Windows XP
Infectielengte: 74,752 bytes
Poorten: TCP 445, 5554, 9996
Infectiedoel: Ungepatchte systemen kwetstbaar aan de LSASS-uitbuiting - MS04-011.
Samenvatting:
- W32.Sasser.F.Worm is een variant van W32.Sasser.Worm. Deze worm tracht de LSASS kwetsbaarheid in Windows (berschreven in Microsoft Security Bulletin MS04-011 ) uit te buiten. De worm verspreidt zich door willekeurig geselecteerde IP-adressen te scannen op de kwetsbare (= niet gepatchte) systemen.
- W32.Sasser.F.Worm verschilt van de andere sasservarianten door:
* het gebruik van een andere mutex: billgate
* het gebruik van een andere bestandsnaam: napatch.exe
* de creatie van een andere registerwaarde:"napatch.exe."
(Opm: W32.Sasser.F.Worm kan lopen op Windows 95/98/Me computers, maar zal ze niet infecteren.
Desondanks kunnen ze wel gebruikt worden om andere kwetsbare systemen waarmee ze in contact komen, te besmetten. In dit geval gaat de worm zoveel bronnen verspillen, dat bepaalde programma's, inclusief de Sasser-verwijdertool, niet normaal uitgevoerd kunnen worden. Op Windows 95/98/Me computers moet de removaltool in veilige modus gedraaid worden.)
Preventie:
- Blokkeer TCP ports 5554, 9996, en 445
- Installeer de betreffende Microsoft patch (MS04-011) om de exploitatie van de kwetsbaarheid van buitenaf, te voorkomen
Technische details:
- De worm kan LSASS crashes veroorzaken en windows dwingen heroptestarten. In dat geval verschijnen volgende meldingen op het scherm:
Gevolgen:
Wanneer W32.Sasser.F.Worm uitgevoerd wordt, doet hij het volgende:
* maakt een mutex aan met de naam "billgate"
* kopieert zichzelf als %Windir%napatch.exe.
Opm: %Windir% is een variabele. De worm localiseert de Windows-installatie map (standaard is dit C:Windows of C:Winnt) en kopieert zichzelf naar die locatie
* voegt de waarde
"napatch.exe"="%Windir%napatch.exe"
toe aan de registry-key:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
waardoor de worm mee opstart met Windows
* gebruikt de AbortSystemShutdown API om pogingen de computer af te sluiten of te herstarten, te verhinderen.
* start an FTP server via TCP port 5554. Deze server wordt gebruikt om de worm naar andere systemen te verspreiden.
Oplossing
handmatige verwijdering (naar Trend Micro)of Symantec
* Identificatie van besmetting:
- Scan uw computer met een online scanner bv. Housecall
- Update uw antivirusscanner en voer vervolgens een scan uit.
(Het is aan te raden de functie Systeemgerstel tijdelijk uit te schakelen vermits bij infectie, Systeemherstel het virus, de worm of trojan op de computer gebackupt kan hebben en Windows externe programma's, dus ook virusscanners, ervan weerhoudt, aanpassingen in de herstelpunten te maken.
* Beeindig het kwaadaardig programma:
- Open de Windows Task Manager (taakbeheer) via CTRL+SHIFT+ESC,selecteer het tabbladje "processen".
- Localiseer in de lijst van de lopende processen de volgende processen: napatch.exe
en alle processen met een naam bestaande uit 4 of 5 cijfers gevolgd door _up.exe (vb: 74354_up.exe).
- Selecteer deze en druk vervolgens op de "beeindig dit proces" knop, herhaal dit voor alle kwaadaardige processen in de lijst van de lopende processen eerder vermeld.
- Contoleer of het kwaadaardig proces afgesloten is door de taskmanager te sluiten, opnieuw te openen en te controleren op bovengenoemde kwaadaardige processen.
* Verwijderen van Autostart Entries uit het register
(voorkomt uitvoering van de malware bij opstart)
Opm.: het is aangeraden, eerst een backup van uw register te maken alvorens aanpassingen uit te voeren!
- Open de Registry Editor. Dit doet u als volgt: klik Start > Uitvoeren, typ Regedit,druk Enter.
- Dubbelklik in het linkerpaneel het volgende:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
- Localiseer en verwijder vervolgens in het rechterpaneel de uitgang(en):
napatch.exe = "%Windows%napatch.exe"
(Opm.: %Windows% verwijst naar de Windows map C:Windows or C:WINNT.)
- Sluit de register editor.
(Opm.: Indien u de kwaadaardige processen niet kon beeindigen volgens de beschreven procedure, herstart dan uw systeem.)
Opm.: Removaltools voor de Sasser variant worden spoedig vernieuwd opdat ook variant Sasser.F door deze tool verwijderd kan worden.
(Bron: naar Symantec en Trend Micro)
-----------------------------------------------------------------------------
oorspronkelijke berichten zijn hier te vinden:
- Symantec: http://securityresponse.symantec.com/avcen...ser.f.worm.html
- Trend Micro: http://uk.trendmicro-europe.com/enterprise...e=WORM_SASSER.F
: 
