Sasser to robak komputerowy, który rozprzestrzenia się w inny sposób niż klasyczny MyDoom.A i jego pochodne. Pierwsze infekcje miały miejsce w dniu30 kwietnia 2004na maszynach, na których poprawka zabezpieczeń dostarczanych przez Microsoft od13 kwietnia 2004 nie został zastosowany.
W przeciwieństwie do wielu innych robaków, robak ten nie rozprzestrzeniał się za pośrednictwem poczty elektronicznej , ale wykorzystywał lukę w zabezpieczeniach . Jego autor, 18-letni wówczas Niemiec, aresztowany zaledwie kilka dni po uwolnieniu robaka, otrzymał wyrok więzienia w zawieszeniu. Obecnie pracuje dla firmy zajmującej się bezpieczeństwem IT.
Dziesiątki milionów dolarów
Robak ten jest rozprzestrzeniany automatycznie przez port 445 na dowolnej maszynie podłączonej do sieci, jeśli jest ona wyposażona w system operacyjny Microsoft Windows 2000 , Windows XP lub Windows Server 2003 i bez niezbędnej poprawki (lub jeśli nie jest chroniona odpowiednio skonfigurowaną zaporą sieciową) ).
Zainfekowana maszyna pobiera program, który uruchamia się automatycznie bez wiedzy użytkownika. Ten program następnie przeszukuje sieć w poszukiwaniu maszyn, które mogą być skażone i rozprzestrzenia się tam, jeśli okaże się to możliwe. Wśród efektów ubocznych wywoływanych przez wykonanie wirusa są niechciane ponowne uruchomienia komputera, a także komunikaty o błędach.
Mając rozmiar 15 872 bajtów (dla wersji początkowej), wykorzystuje lukę Windows LSASS, aby pobrać na zainfekowaną maszynę plik o nazwie avserve.exe w katalogu Windows przez FTP i port TCP 5554 i uruchomić zdalne wykonanie bez żadnego interwencja użytkownika.
Następnie robak kopiuje się do katalogu System z losową nazwą kończącą się na _up.exe . Modyfikuje rejestr, aby był uruchamiany przy każdym uruchomieniu. Następnie uruchamia sto dwadzieścia osiem jednoczesnych procesów w celu przeskanowania sieci i znalezienia nowych hostów. W końcu system stał się niestabilny, stąd awaria lsass.exe i automatyczne ponowne uruchomienie wraz z komunikatem o błędzie: LSA Shell napotkał problem i musi zostać zamknięty. Przepraszamy za niedogodności . (w języku francuskim: LSA Shell napotkał problem i musi zostać zamknięty.)
Według wstępnych szacunków na początku Sasser wpłynął na kilka milionów maszyn.
Podobnie jak Blaster ( Lovesan ), pojawił się on wkrótce po wydaniu przez Microsoft łatki MS04-011 na lukę, którą wykorzystuje.
Typy systemów operacyjnych GNU / Linux , Mac OS , Unix lub inne nie są podatne na wirusa.
18-letni niemiecki człowiek , Sven Jaschan , autor robaka, został zatrzymany przez policję w jego kraju7 maja 2004lub zaledwie kilka dni po wypuszczeniu robaka. Pomimo tego aresztowania w Internecie pojawił się wariant E Sassera. Rzekomo przyznał się, że stworzył również robaka NetSky, aby przeciwstawić się robakom MyDoom i Bagle . Został skazany na8 lipca 2005 na karę więzienia w zawieszeniu, ale teraz pracuje w firmie zajmującej się bezpieczeństwem komputerowym.
W zależności od dostawców oprogramowania antywirusowego nazwa identyfikacyjna robaka jest różna: W32/Sasser.x@MM, W32.Sasser.X@mm, WORM_SASSER.X, W32 / Sasser-X lub Win32.Sasser.X. „X” to nowy wariant: