Sasser wykorzystuje lukę umożliwiającą przepełnienie bufora w module LSASS (Local Security Authority Subsystem Service) systemów operacyjnych Windows 2000, XP oraz 2003 Server i w efekcie, przejęcie kontroli nad komputerem. Luka ta została dokładnie omówiona w biuletynie bezpieczeństwa o numerze MS04-011 datowanym na 13 kwietnia (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ). Wtedy też Microsoft opublikował stosowny pakiet poprawek mających za zadanie neutralizację potencjalnego zagrożenia.

Bezwiedna infekcja

Obie odmiany Sassera mogą dostać się na komputer użytkownika bez jego wiedzy i udziału, (co upodabnia go do słynnego Blastera). Kopiują się do katalogu systemowego Windows po postacią plików o nazwie AVSERVE.EXE (Sasser.A) oraz AVSERVE2.EXE (Sasser.B), dokonując takich zmian w rejestrze, aby mogły automatycznie aktywować się za każdym uruchomieniem komputera. Następnie robak uruchamia serwer FTP na porcie TCP o numerze 5554, jednocześnie skanując sieć na porcie 445 w poszukiwaniu kolejnej ofiary – komputera z niezainstalowaną poprawką do LSASS. Przedstawiciele Microsoftu wspominają również o porcie 139. Gdy podatny na zainfekowanie komputer zostanie zlokalizowany, Sasser wysyła do niego specjalny pakiet, powodujący przepełnienie bufora. Zawiera on również instrukcje otwarcia na zdalnej maszynie portu 9996, którędy to przesyłana jest kopia robaka.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Ochrona przed Sasserem – błędne koło?

Sposobów zabezpieczenia się przed Sasserem jest kilka. Przede wszystkim specjaliści od bezpieczeństwa zalecają używanie firewalla. Kolejnym etapem jest aktualizacja definicji antywirusowych oraz zaopatrzenie się w odpowiednie programy likwidujące robaka z naszego komputera, które firmy antywirusowe również udostępniają. Najbardziej dyskusyjne wydaje się być jednak pobieranie i instalacja opublikowanego w połowie kwietnia zestawu poprawek Microsoftu, który łata lukę w oprogramowaniu, umożliwiającą wdarcie się Sassera. Okazuje się bowiem, iż po zainstalowaniu tych poprawek, niektórzy użytkownicy systemów Windows 2000 doświadczają niemałych problemów z pracą swoich komputerów. Nie chcą się one ponownie uruchamiać lub pracują zdecydowanie wolniej

Jak twierdzi Michael Reavey – security program manager w Security Response Center Microsoftu: "Od momentu udostępnienia użytkownicy pobrali tę poprawkę w ponad 150 milionach kopii".

Kolejne wersje

Na domiar złego, w międzyczasie pojawiają się kolejne wersje Sassera. Symantec donosi o wersjach oznaczonych literami C i D, które sposobem działania nie odbiegają znacznie od poprzedników. Z kilkoma wyjątkami – Sasser.C do poszukiwania podatnych na infekcję komputerów w Internecie lub sieci lokalnej, wykorzystuje o wiele większe zasoby systemowe komputera, co może powodować w rezultacie jego spowolnioną pracę. Innowacją w odmianie Sasser.D jest natomiast nazwa pliku, pod którą robak ukrywa się w katalogu systemowym Windows – SKYNETAVE.EXE oraz skuteczniejsza metoda wykrywania podatnych na infekcję komputerów. Wszystkie obecnie znane wersje tego robaka nie powodują żadnych dodatkowych szkód w zainfekowanym systemie, jednak mogą skutecznie utrudnić nam pracę. Przedstawiciele Symanteca potwierdzili już ponad 10 tysięcy infekcji w ciągu weekendu, głównie spowodowanych wariantem Sasser.B.

Pościg za sprawcą - autorem Netsky’a?

Koncern z Redmond postanowił pomóc w schwytaniu autora Sassera, podejmując współpracę ze specjalnym zespołem pościgowym, w którego skład wchodzi Federalne Biuro Śledcze (FBI), służby Secret Service oraz lokalne siły policyjne. Tymczasem eksperci z firm antywirusowych podczas analizy kodu robaka natrafili na pewien ślad, który wskazuje na fakt, iż Sasser i Netsky mogą pochodzić od tej samej osoby. Dowodem może być najnowszy wariant Netsky, zauważony w poniedziałek (Netsky.AC). To właśnie w jego kodzie znaleziono następujący fragment: "Hey av firms, do you know that we have programmed the sasser virus?!? Yeah, thats true" (Hej, firmy antywirusowe, czy wiecie, że to my napisaliśmy wirusa Sasser?!? Tak, to prawda).

Producenci oprogramowania antywirusowego ostrzegli również, przed krążącym w Sieci e-mailem, mającym zawierać odnośnik do programu usuwającego z systemu robaka Sasser. W rzeczywistości, po kliknięciu na zawarty w wiadomości link, automatycznie pobierany i uruchamiany jest robak Netsky.AC.