Sasser
Sasser je počítačový červ, který se týká počítačů se systémem zranitelné verze Microsoft Windows XP a Windows 2000. Sasser se šíří tím, že využívá v systému zranitelné síťové porty (stejně jako někteří další červy). Proto je obzvláště nebezpečný v tom, že se může šířit bez zásahu uživatele, ale lze jej také snadno zastavit, když je správně nakonfigurován firewall, nebo stažením aktualizací systému z Windows Update. Specifická díra, jež je Sasserem využívaná, je zdokumentována Microsoftem ve svém bulletinu[zdroj?], Ten byl později opraven[konkrétní datum?].
Historie a účinky
[editovat | editovat zdroj]Sasser byl poprvé zaznamenán a začal se šířit dne 30. dubna 2004. Byl pojmenován Sasser, protože se šíří tím, že využívá přetečení vyrovnávací paměti ve složce známé jako LSASS (Local Security Authority Subsystem Service) na dotčených operačních systémech. Červ prohledává různé rozsahy IP adres a připojuje se k počítači oběti především prostřednictvím TCP portu 445. Analýza Microsoftu naznačuje i možnost šíření se prostřednictvím portu 139. Několik variant tzv. Sasser.B, Sasser.C a Sasser.D se objevilo během několika dnů (původní se jmenoval Sasser.A). LSASS zranitelnost opravil Microsoft v dubnu 2004 za pomoci svých měsíčních bezpečnostních balíčků, právě kvůli červovi. Někteří odborníci na technologie spekulovali, že tvůrci červa použili reverzní inženýrství na patch Microsoftu k objevení chyby, která by jim otevřela miliony počítačů, jejichž operační systém nebyl aktualizován.
K efektům Sassera patřila několikahodinová blokace družicové komunikace news agency Agence France-Presse (AFP), Americká společnost Delta Air Lines musela zrušit několik transatlantických letů, protože její počítačové systémy byly infikovány červem. V severských zemích se zastavil provoz pojišťovny IF a její finští majitelé Sampo Bank a museli zavřít 130 kanceláří po Finsku. Ve Spojeném království měla pobřežní stráž zablokované mapové služby po dobu několika hodin. U společností Goldman Sachs, Deutsche Post a Evropské komise se také objevily problémy s červem. X-ray oddělení na Lund University Hospital mělo všechny své čtyřvrstvé rentgenové stroje vypnuté a po dobu několika hodin museli přesměrovat nouzové pacienty do nedaleké nemocnice. University of Missouri byla nucena "odpojit" svou síť z širšího internetu.
Autor
[editovat | editovat zdroj]Zpočátku se věřilo, že Sasser vytvořila v Rusku osoba (nebo skupina), která vytvořila dalšího červa zmiňovaný jako MSBlast, nebo Blaster (kvůli mediím). Vazba byla indikována podobností kódu těchto dvou, ale dne 7. května 2004 byl zatčen za tvorbu červa 18letý německý student informatiky Sven Jaschan z Rotenburgu an der Wümme. Německé správní orgány byly navedeny k Jaschanovi částečně díky pomocí informací získaných v reakci na nabídku odměny ze strany společnosti Microsoft ve výši US $250 000 (dnes přibližně 9,6 mil. korun).
Jeden z Jaschanových přátel oznámil Microsoftu, že jeho přítel byl tvůrcem červa. Dále bylo zjištěno, že nejen Sasser, ale také Netsky.AC, varianta Netsky červa, byla jeho tvorba. Byly zjištěny další variace Sassera, Sasser.E, jenž byly objeveny v oběhu krátce po jeho zatčení. Byla to jediná varianta, která se pokusila odstranit další červy z infikovaného počítače, hodně podobným způsobem, jako to Netsky dělá.
Jaschan byl souzen jako mladistvý, protože německé soudy rozhodly, že vytvořil červa dříve než mu bylo 18 let. Červ sám byl vypuštěn na jeho 18. narozeniny (29. dubna 2004). Sven Jaschan byl shledán vinným z počítačové sabotáže a nelegálního pozměňování dat. V pátek 8. července 2005 dostal 21 měsíců podmíněně.
Nežádoucí účinky
[editovat | editovat zdroj]Indikace infekce červa na daném PC je existence souboru C:\WIN.LOG
nebo C:\WIN2.LOG
na pevném disku počítače, stejně jako zdánlivě náhodné pády s Lsass.exe
na obrazovce způsobené vadným kódem použitým v červovi. Nejcharakterističtějším příznakem červa je časovač vypnutí, které se objeví v důsledku shazování lsass.exe červem.
Možná zástupná řešení
[editovat | editovat zdroj]Sekvence vypnutí může být přerušena stisknutím tlačítka Start a pomocí Spustit a zadání shutdown -a
. To přeruší vypnutí systému, takže uživatel může pokračovat v tom, co dělá. Soubor Shutdown.exe není k dispozici ve výchozím nastavení v systému Windows 2000, ale může být instalován z resource kitu systému Windows 2000. Je k dispozici v systému Windows XP. Druhá možnost, jak zastavit červa od vypnutí počítače, je změnit čas a nebo datum na systémových hodinách na dřívější hodinu. Čas vypnutí se prodlouží o tolik, o kolik byly hodiny nastaveny zpět.
Reference
[editovat | editovat zdroj]V tomto článku byl použit překlad textu z článku Sasser (computer worm) na anglické Wikipedii.
Externí odkazy
[editovat | editovat zdroj]- Microsoft Security Bulletin: MS04-011
- CVE: CAN-2003-0533
- Bugtraq ID 10108 Archivováno 28. 5. 2014 na Wayback Machine.
- Read here how you can protect your PC (Microsoft Security page) - Includes links to the info pages of major anti-virus companies.
- New Windows Worm on the Loose (Slashdot article)
- Report on the effects of the worm from the BBC
- German admits creating Sasser (BBC News)
- Sasser creator avoids jail term (BBC News)