Alex van den Berg
03-05-2004, 14:08
Er wordt al een dag of 2 voor gewaarschuwd... maar het leek me niet verkeerd om even een waarschuwing op het forum te plaatsen.
Experts bang voor massale uitbraak Sasser-worm
Experts vrezen dat de Sasser-worm aan het begin van de nieuwe werkweek voor problemen zal zorgen. De worm start besmette pc's opnieuw op.
Experts verwachten dat maandag, als de kantoren weer open gaan, miljoenen pc's en laptops besmet zullen raken met deze worm. Het virus kan namelijk actief worden zonder dat de gebruiker een e-mailbijlage opent.
De Sasser-worm maakt gebruikt van een lek dat Microsoft op 13 april dit jaar heeft gemeld. Gebruikers met pc's met Windows XP, Windows 2000 en Windows Server 2003 die geen patch voor dit beveiligingslek hebben geïnstalleerd, lopen risico om besmet te raken.
Via tcp-poort 5554 installeert het een ftp-server waardoor het zichzelf verspreidt. Sasser scant willekeurige ip-adressen via poort 445 op de aanwezigheid van het betreffende Windows-lek.
Opstarten
De worm maakt misbruik van het zogeheten lsass-lek (local security auhtority subsystem service) en veroorzaakt een 'buffer overrun' op het Windows systeembestand LSASS.exe. Hierdoor start de machine steeds opnieuw op, maar worden werkzaamheden op de pc onderbroken of geblokkeerd.
De eerste Sasser-worm is op 30 april gesignaleerd. Inmiddels is er ook al een B- en C-variant van. De worm richt nauwelijks schade aan en is vrij eenvoudig te verwijderen.
Verwijderingsprogramma te vinden via het originele bericht:
http://www.webwereld.nl/nieuws/18422.phtml
PS: Mijn firewall heeft in een uur tijd al zo'n 20 attacks op poort 445 geregistreerd... :shock:
Experts bang voor massale uitbraak Sasser-worm
Experts vrezen dat de Sasser-worm aan het begin van de nieuwe werkweek voor problemen zal zorgen. De worm start besmette pc's opnieuw op.
Experts verwachten dat maandag, als de kantoren weer open gaan, miljoenen pc's en laptops besmet zullen raken met deze worm. Het virus kan namelijk actief worden zonder dat de gebruiker een e-mailbijlage opent.
De Sasser-worm maakt gebruikt van een lek dat Microsoft op 13 april dit jaar heeft gemeld. Gebruikers met pc's met Windows XP, Windows 2000 en Windows Server 2003 die geen patch voor dit beveiligingslek hebben geïnstalleerd, lopen risico om besmet te raken.
Via tcp-poort 5554 installeert het een ftp-server waardoor het zichzelf verspreidt. Sasser scant willekeurige ip-adressen via poort 445 op de aanwezigheid van het betreffende Windows-lek.
Opstarten
De worm maakt misbruik van het zogeheten lsass-lek (local security auhtority subsystem service) en veroorzaakt een 'buffer overrun' op het Windows systeembestand LSASS.exe. Hierdoor start de machine steeds opnieuw op, maar worden werkzaamheden op de pc onderbroken of geblokkeerd.
De eerste Sasser-worm is op 30 april gesignaleerd. Inmiddels is er ook al een B- en C-variant van. De worm richt nauwelijks schade aan en is vrij eenvoudig te verwijderen.
Verwijderingsprogramma te vinden via het originele bericht:
http://www.webwereld.nl/nieuws/18422.phtml
PS: Mijn firewall heeft in een uur tijd al zo'n 20 attacks op poort 445 geregistreerd... :shock: