Все споры о том, какие ОС являются оптимальными для серьезных учреждений, похоже, могут вспыхнуть с новой силой. Sasser умудрился среди миллионов "персоналок" порезвиться в системе береговой охраны Великобритании (Marine and Coastguard Agency), в результате чего сотрудникам пришлось вспомнить старые добрые времена, достать ручки и бумагу и вручную определять местоположение кораблей.
Произошло это еще вчера, когда первые работники госучреждений начали возвращаться после выходных на рабочие места и приносить с собой зараженные ноутбуки или активно пользоваться настольными системами, остававшихся с доступом к интернету в течение праздников. По первоначальным оценкам аналитиков эпидемия Sasser по масштабам и нанесенному ущербу не уступает эпидемии Blaster в августе прошлого года.
Бесконечно можно спорить о том, что является одной из косвенных причин широкого распространения вируса – беззаботность пользователей или уязвимости в ОС Windows, одно ясно точно: масштабы могли бы быть меньше, если бы организации (хотя бы правительственные) пользовались собственными разработками (ну скажите, кому придет в голову искать уязвимости в проприетарных разработках). Что бы не говорили, а script-kiddies все же предпочитают готовые эксплойты и известные уязвимости. Например, по данным различных источников меньше всего ломают системы irix, aix и другие, чья процентная доля среди всех используемых серверных ОС вряд ли доходит до 1%.
Совсем другое дело Sasser, который появился через 17 дней после обнаружения уязвимости в Windows – 20 "дыр" были описаны в бюллетене Microsoft 13 апреля. С момента начала распространения, 30 апреля, в природе было замечено 4 варианта вируса (базовый и три штамма, "оптимизированных под скорость распространения").
Ну и, наконец, стоит упомянуть опубликованные Лабораторией Касперского данные, опубликованные еще 1 мая:
Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 Кб, упакован ZiPack. При запуске червь регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] avserve2.exe = %WINDIR%avserve2.exe
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.
Загрузка выполняется по протоколу FTP — для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "N_up.exe", где N — случайное число.
По материалам Slashdot, Newscientist, Лаборатории Касперского