Ir para conteúdo

[software] Sasser Worm

Northon

Por Northon
em Dicas e Tutoriais

 Share

Posts Recomendados

Northon

Northon 3

Postado
Postado (editado)

O que é

 

O Sasser é considerado um Worm de Rede pois se espalha via redes Windows: seja na internet ou em LAN. Ele se espalha devido a uma falha existente no Windows NT que permite que o malware entre no computador sem mesmo o usuário executar um arquivo malicioso.

Sintomas

 

* PC absurdamente lento

* Impossibilidade de abrir paginas na internet

* Erro no lsass.exe com contador de 1 minuto

* Erro no LSA Shell (Export Version)

* Erro dizendo “The memory could not be ‘read’” ao iniciar o Windows

 

É de extrema importância lembrar que além do Sasser e do Blaster, outros worms também causam a famosa reinicialização em 60 segundos. Por esse motivo, você pode muito bem ter um desses outros worms e não necessariamente o Sasser, pois todos eles possuem sintomas parecidos.

 

Remoção

 

O Sasser é um Malware

 

simples, porém ele possui várias variantes. Esses passos vão cobrir a maioria das variantes do Sasser e Cycle.

 

Para remoção rápida e simples, use a ferramenta F-Sasser, da F-Secure, que você pode baixar aqui:

ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.exe

 

Tanto a ferramenta de remoção como os passos manuais para remover o problema devem ser executados por um usuário logado no sistema com privilégios administrativos.

 

Caso a ferramenta não resolva o seu problema, é bem provável que você não tenha o Sasser instalado. Por via das dúvidas, você pode seguir esses passos para removê-lo.

 

C:\WINDOWS\ é o caminho da pasta Windows. Se você não tem certeza onde fica sua pasta Windows, clique em Iniciar, aponte para executar e digite %Windir%. Clicando em OK, você abrirá a pasta Windows.

 

Desabilite a recuperação do sistema para ter certeza de que o worm não seja protegido pelo Windows.

 

1. Crie o arquivo C:\WINDOWS\debug\dcpromo.log e coloque o atributo somente leitura (se ele já existe, apenas clique com o botão direito nele, vá em propriedades e marque a caixa “Somente leitura”).

2. Reinicie o computador

3. Mate os processos:

* avserve.exe

* avserve2.exe

* skynetave.exe

* napatch.exe

* lsasss.exe (note 3 S e não 2)

4.

 

Delete os arquivos

* C:\WINDOWS\system32\avserve.exe

* C:\WINDOWS\system32\avserve2.exe

* C:\WINDOWS\system32\skynetave.exe

* C:\Win.log

* C:\Win2.log

* C:\WINDOWS\system\svchost.exe (note que o svchost.exe na pasta system32 é legítimo)

* Todos os arquivos terminando com _up.exe na pasta C:\WINDOWS\system32

5. Tire do registro as chaves de inicialização:

* [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] “avserve”

* [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] “avserve2″

* [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] “lsass”

* [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] “skynetave”

* [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] “Generic Host Service”

6. Faça o download e instale a correção da Microsoft para o seu Sistema Operacional:

* Windows XP (Português)

* Windows XP (Inglês)

* Windows 2000 SP2+ (Português)

* Windows 2000 SP2+ (Inglês)

* Para outros patches veja o Boletim da Microsoft.

 

Se você não instalar o patch o vírus tem uma grande (90%) de chance de voltar.

7. Delete o arquivo C:\WINDOWS\debug\dcpromo.log (talvez seja necessário tirar o atributo somente leitura antes)

8. Reinicie o computador

 

É muito importante notar que outros vírus além do Sasser, Cycle e Bobax se espalham como o Sasser e causam o reboot em 60 segundos. Outros deles são o Blaster, Agobot e SdBot.

 

Como acontece a infecção

 

Existe um bug em uma rotina do Windows para escrever logs do sistema. Essa rotina possui uma falha onde se um atacante conectar no sistema com um certo pacote ele poderá executar códigos.

 

O Sasser executa um código muito simples. Ele manda o computador alvo fazer o download do worm via TFTP. Ou seja, o computador infectado abre um servidor TFTP, enquanto o worm fica procurando alvos. Ao achar um computador sem a correção, ele manda o alvo baixar o worm (que está no servidor TFTP) e executá-lo.

 

A falha está no arquivo lsass.exe. Ao ser explorada, essa falha causa um estouro de buffer, que faz com que o programa seja finalizado. Acontece que lsass.exe é um arquivo essencial ao funcionamento do Windows. Como ele foi finalizado, o Windows nota a sua falta e força o computador a ser reiniciado para que o programa volte a ser executado.

 

Em outras palavras, cada vez que o seu computador reinicia quer dizer que o vírus tentou lhe infectar novamente, mesmo você já estando com o vírus.

 

Creditos:

 

Linha Defensiva

Editado por Northon
Link para o comentário
Compartilhar em outros sites
  • 1 month later...
moskitinho

moskitinho 164

Postado
Postado

Olá Nortt,

 

 

Eu tava com um desses \o/ ... e mais umas tropas de cavalos tinha cavalo de todas as raças, cores e tipos no meu pc...

Levei simplesmente 2 dias pra resolve o problema... Bom se eu fosse conta tudo que houve no meu pc não ia da pra acredita...

 

Só que no fim formatei e agora ñunca mais dexo de usa anti virus xD~

Link para o comentário
Compartilhar em outros sites
  • 2 months later...
 Share
Ir para a lista de tópicos
×
×
  • Criar Novo...