Af Anonym, 11/10/16
Artiklen blev oprindeligt publiceret den 3/5/2004
Ormen Sasser har spredt sig hurtigt i løbet af weekenden ved hjælp af en sårbarhed i Windows-modulet LSASS.Sårbarheden er en af i alt 20, som Microsoft udsendte sikkerhedsopdateringer imod den 13. april.
Sasser retter sig mod computere med Windows XP eller Windows 2000, der endnu ikke har fået installeret sikkerhedsopdateringen. Når den finder en sårbar computer skaber den et bufferoverløb i LSASS-modulet, der benyttes til password-godkendelse i Windows.
Ormen forsøger herefter at videresende sig selv til tilfældige IP-adresser på port 445. Det gør den ved at oprette en en FTP-server på port 5554 på den inficerede computer, og herefter sende en kommando fra den sårbare computer om at hente ormen.
Sassers filnavn består af fire eller fem cifre efterfulgt af "_up.exe" f. eks "34353_up.exe". Desuden kan den genkendes ved, at den forsøger at forhindre den inficerede computer i at lukke ned.
På Windows XP-maskiner kan en fejlmeddelelse om, at processen LSASS.exe er lukket ned, dukke op. I Windows 2000 advarer en fejlmeddelelse om at systemet lukker ned om 60 sekunder.
Det anbefales at hente den seneste sikkerhedsopdatering fra Microsoft, hvis man ikke allerede har gjort det.
 Lad DKCERT følge virksomhedens sikkerhed | |
| Vi skræddersyr overvågningen af dine it-systemer. | |
Læs mere   Printversion (PDF) |  |