Benvenuti su Ufone.net
   

Reti Lan

Introduzione
Software
Hub
Schede di rete
Reti e Windows
Cablaggi
Consigli pratici LAN
Protocollo Tcp/Ip
ADSL
Server web e ISS5
Router bridge
Setting server e-mail
Sistema Ipcop - Linux
Server FTP
Server DNS
Server Bind
Sofware Voip
Server Sms
Energia Solare Server GREEN

DOS

Introduzione
Comandi

Rimuovere i Virus

Rimuovere Autorun.inf
Rimuovere Rootkit MBR
Rimuovere Rootkit
Sasser
Mydoom
Sober
Beagle
Gli altri virus

Se sei stato Infettato da un altro pc scarica questo tool (si riconosce perche l'antivirus non si collega per aggiornarsi)

Utility

Guida conn. Internet da  cellulare  in  Umts
Guida Installazione PHP su server ISS6 per uso Mysql
Guida per settare Joomla1.x SEO su IIS 6

Guida VOIP
E-mail
Booking

Virus Sasser
Data di scoperta: venerdì 30 aprile 2004
Tipo: Worm
Rischio: Medio
Trasmissione del virus: Rete Internet
Piattaforma colpita: Windows
Danni: Apertura Backdoor per esecuzione codice nocivo, consumo risorse del computer e banda, possibili riavvii del sistema
Rimozione: Tool di Rimozione Symantec

Funzionamento
Il worm si esegue sui computer che non hanno provveduto ad aggiornare Microsoft Windows con le patch del bollettino MS04-011, anche senza cliccare sugli allegati delle mail infette.

Azioni
Il worm, dopo l'attivazione, compie le seguenti operazioni:

Copia se stesso nella directory di Windows con il nome avserve.exe.
Causa il riavvio del computer
Apre tre backdoor sulle porte 445, 5554, 9996 (TCP)
Attraverso queste porte cerca altri computer vulnerabili e invia loro il codice nocivo
Il processo di propagazione avviene secondo questa filiera. A ritmi di decine di computer al secondo, il worm cerca sulla rete i computer che hanno aperta la porta 445 TCP. Nel caso fosse aperta e il sistema fosse vulnerabile, il worm tenta di eseguire il proprio codice nocivo sul computer (il codice nocivo viene eseguito solamente se al computer aggredito non sono state applicate le patch del bollettino MS04-11 (o da Windows Update oppure dai link forniti nella pagina del bollettino).

Il codice eseguito sul computer non protetto apre una comunicazione sulla porta 9996. Attraverso questa porta, Sasser.B invia dell'altro codice che a sua volta apre un server FTP minimale sulla porta 5554. Attraverso questo server FTP, che rimane acceso anche al riavvio del computer, viene inviato al computer aggredito il codice del Worm.

Attraverso la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run il file avserve.exe viene attivato ad ogni avvio di Windows.

Si può rilevare il worm cercando, e trovando, (attraverso una ricerca tra i file) il file avserve.exe nella directory di Windows oppure il file win.log contenente degli indirizzi IP nella directory c:\ del proprio Hard Disk.

Rimozione Sasser
Scarica Tool di Rimozione Symantec - Scarica Tool di Rimozione Microsoft




| HomePage | Pubblicità | Contatti |
| Per viaggiare in Italia | Portale di storiadellarte | In diretta dalle Maldive |

Realizzazione grafica e contenuti di Ufone.net
E' vietata la riproduzione, anche solo in parte, di contenuti e grafica