Sasser Worm!

[Max]

Sasser Worm! :wacko:

Resitev za tiste, katerim se je ze prikradel skozi zadnje vrata v vas omiljeni PC z Winsi...

Ko se vam pojavi napis, da se racunalnik

avtomaticno ugasne v 60 sekundah, ga prekinite.

Nato imate casa manj kot 60 sekund,

da kliknete na "Start", potem komando "Run".

Tu vpisite "shutdown -a".

To pomeni zaustavitev abort.

Tako se vam Racunalnik ne bo ugasnil in lahko po netu poiscete resitev.

Uspesno resitev in cim manj sivih las vam zelim! B)

[cyc]

Se bolje je seveda skrbeti za reden Windows Update ... tam imajo popravek za ta crv.

[Max]

Tale crvicek seveda ne potuje preko E-poste kot smo bili vajeni do sedaj. O:-)

Tako da ne bo prisel po "standardu" z priponko :P

Pa seveda tudi preko dobrega starega Firewalla ne bo preskocil!

Good luck! :D

[Max]

Se bolje je seveda skrbeti za reden Windows Update ... tam imajo popravek za ta crv.

Ja, samo dodal bi, da hkrati s tem pocetjem lahko

dobite tudi nezeljenega zgoraj omenjenega gosta :xx:

[cyc]

Ja, samo dodal bi, da hkrati s tem pocetjem lahko

dobite tudi nezeljenega zgoraj omenjenega gosta :xx:

A zato ker bi ga staknil od MSja ali zato ker si pac online zato? :D

[Thundercat]

Črv Sasser

Vzdevki: Sasser.A, Worm.Win32.Sasser.a

Dolžina: 15872

Povzetek

Črv Sasser se širi preko napake v LSASS - MS04-011. Pogoji za okužbo preko Local Security Authority Subsystem Service so:

- operacijski sistem Windows XP ali Windows 2000

- na računalniku niso nameščeni popravki za to napako

- računalnik je povezan v internet brez požarnega zidu

Več informacij o napaki in Microsoftovi popravki so na naslovu:

http://www.microsoft.com/technet/security/...n/MS04-011.mspx

Črv naredi datoteko 'C:\win.log', ustavlja 'LSASS.EXE' in generira promet na TCP portih 445, 5554 in 9996.

Pojavila se je tudi verzija Sasser.B, ki se skopira v datoteko AVSERVE2.EXE .

Za odstranjevanje vseh štirih doslej znanih verzij se lahko uporabi program F-Sasser. Če se računalnik neprestano resetira, se zaustavljanje prekine preko Start - Run - "shutdown -a" - OK.

ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.zip

ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.txt

več o tem tukaj

[Max]

...Pogoji za okužbo preko Local Security Authority Subsystem Service so:

- operacijski sistem Windows XP ali Windows 2000

- na računalniku niso nameščeni popravki za to napako

- računalnik je povezan v internet brez požarnega zidu

...

Pa de nebi mislili po tem kar tu pise, da tisti, ki mate starejse

winse kot so 95, 98 ali ME da niste ogrozeni! :kva2:

Naj vas razsvetlim: vi STE :naughty: tudi potencialne tarce okuzbe <_<

[Thundercat]

Pa de nebi mislili po tem kar tu pise, da tisti, ki mate starejse

winse kot so 95, 98 ali ME da niste ogrozeni! :kva2:

čeprav povsod po netu zasledim da teh sistemov naj nebi napadal oziroma niso ogroženi... :hmm:

pa včeraj po tv zasledil možakarja z inštituta jožef s. da v sloveniji dva uporabnika okužena z tem virusom na dan...medtem ko sta bila z zadnjim odmevnim virusom okužena 2 na 10 sekund.....

[Netman]

Problem je tudi, ker ima marsikdo črno verzijo XP, ki ne pusti instalacije SP in update-a... :blink:

In seveda pol tega ne naredi in je kmalu kužen... :SS

[mario]

Ta teden sem imel že vsaj 50 primerov Saser virusa na WIN XP in WIN2000 sistemih, na Win98 pa niti enega.

Res je , da če bi vsi imeli legalne kopije XP-jev , pa Officev, in še druge Microsoftove opeme, bi pridno delali update, tako pa ...

So se pa pisci virusov tokrat res hitro zganili, kajti virus je prišel praktično takoj po objavi Microsofta o varnostni luknji, katero virus Saser izkorišča.

In še nekaj, na moji mašini doma in v službi imam XP-je ( bolj črne, kot ne ), antivirusa pa ne uporabljam. Obe mašinci mi delata brez problemov, virusa nisem imel že več kot leto dni .

Možnost, da vas bodo virusi napadali so večje, če imate antivirus naložen, kajti pisci virusov napadajo in pišejo viruse z namenom, da sesujejo antivirus in proizvajalce antivirusnih programov.

S tem, ko se vaši antivirusi ( po možnosti črne verzije ) posodabljajo povlečejo na vaš PC tudi marsikatero navlako, med drugim tudi viruse.

Sumljive majle pa itak znate sami brisati, avtomatsko odpiranje predogleda prejete pošte pa tudi ni težko izklopiti .

To je samo moje skromno mnenje, ki sem si ga ustvaril z svojimi izkušnjami.

:yea2:

[ernessto73]

Možnost, da vas bodo virusi napadali so večje, če imate antivirus naložen, kajti pisci virusov napadajo in pišejo viruse z namenom, da sesujejo antivirus in proizvajalce antivirusnih programov.

S tem, ko se vaši antivirusi ( po možnosti črne verzije ) posodabljajo povlečejo na vaš PC tudi marsikatero navlako, med drugim tudi viruse.

Sorry, ampak s tem se pa ne strinjam preveč. Predvsem tista o posodabljanju antivirusov in navlaki je (vsaj zame) lovska.

Del resnice je samo v tem, da ti antivirusni program ne pomaga prav nič, če si udeležen v prvem valu napada. Takrat seveda še ni zdravila... določene antivirusne hiše reagirajo zelo hitro (dve do tri ure po prvem soočenju) nekateri pa mutijo tudi po cel dan. In tako hvaljen Norton se na domačih računalnikih posodablja samo parkrat na mesec - po moje bedarija, da ni večje - uporabniku da lažno sliko varnosti (da ne govorim o njegovi požrešnosti <_< ).

Samokontrola pri pregledovanju pošte je nujna a pri Sasserju tu ni efekta. Da te Sasser ni napadel se lahko zahvališ samo up-to-date posodobitvam sistema ali pa firewall-u.

In res ne razumem ljudi - pri toliko (nekaterih prav dobrih) free antivirusnih programih in požarnih zidovih še vedno bluzijo po netu čisto odprti in nezavarovani... Kako mi dviga pritisk, ko po forumih kar naprej berem topice tipa "spet virus", "komp se resetira", "help, virus"... Da ne omenjam slovenskih firm - služben poštni strežnik mi dnevno ustavi po 200 (dvesto) okuženih mailov iz slovenskega omrežja. Ob izbruhih so vsakič udeležena tudi manjša slovenska podjetja.

In ja - prve verzije Sasserja delajo škodo samo na Win2000 in WinXP.

[hotschko]

služben poštni strežnik mi dnevno ustavi po 200 (dvesto) okuženih mailov iz slovenskega omrežja.

imaš pa bolj malo mailboxov na serverju ... ;) ... jaz na mailserverju blokiram vse žive priponke, okužene ali ne ...

[mario]

In ja - prve verzije Sasserja delajo škodo samo na Win2000 in WinXP.

The W32.Sasser family of worms can run on (but not infect) Windows 95/98/Me computers. Although these operating systems cannot be infected, they can still be used to infect vulnerable systems that they are able to connect to. In this case, the worm will waste a lot of resources so that programs cannot run properly, including our removal tool. (On Windows 95/98/Me computers, the tool should be run in Safe mode.)

Povlečeno iz Symantecove strani .

Torej ne okuži Windows 95/98/Me sistemov.

Kar se mojih izkušenj z antivirusi tiče :

Norton - zadnje čase deluje tako dobro, kot cedilo za vodo

Panda - večni problemi z sesuvanjem Outlooka ob prejemanju pošte

Trend Pccilin - kar u redu

Avast ( Free ) - nekaj časa bil zelo zadovoljen, potem pa me je grdo razočaral

F-prot - že dlje nisem zasledil kje naloženega

Kot sem že povedal, jaz antivirusa ne uporabljam, zgoraj opisane izkušnje so od PC-jev pri naših strankah. Kako jih oni znajo uporabljati, pa raje ne komentiram.

Dejstvo je , da so vedno polni virusov.

In res je, zadnji virus , ki sem ga fasal, je bil Blaster in takrat res nisem imel gor popravka za XP-je.

Lp :yea2:

[Netman]

Samo še ena mogoče za koga koristna informacija:

Ko sem omenil črno verzijo XP :naughty: in blokado instalacije SP ter popravkov sem imel v mislih problem, ki nastane, če pri instalaciji XP-jev uporabimo serijsko številko, ki se začne z FCKGW - itd.

Micro$oft je v instalaciji Service Pack 1a in vseh hot-fixih onemogočil instalacijo popravkov na tako registriranih XP-jih.... :angry:

Iz izkušenj pa priporočam instalacijo teh popravkov - noben Norton ne bo pomagal, če bo virus pricurljal v sistem preko kakega procesa, ki ga čaka na odprtem TCP/IP portu...

:SS MICROSOFT

[mario]

:SS MICROSOFT

SE PRIDRUŽUJEM !

:SS :SS :SS MICRO$OFT

[simonsi]

He he men se pa začne s fckgw :OK:

[mario]

He he men se pa začne s fckgw :OK:

Obsojen si na smrt !

Samo vprašanje časa je , kdaj se bomo poslovili od tebe .

:lol1: Naj ti bo lahka zemlja . :lol1:

Micro$oft vse vidi, vse ve ... :naughty:

[Mustang]

Sem ga že fasal in (upam da) odpravil z Microsoftovim updateom.

Samo nekaj mi vseeno ne gre v račun. Zakaj mi ga ni Norton AntiVirus prepoznal (pa imam legalno verzijo in je stalno updateana)?

[mario]

Sem ga že fasal in (upam da) odpravil z Microsoftovim updateom.

Samo nekaj mi vseeno ne gre v račun. Zakaj mi ga ni Norton AntiVirus prepoznal (pa imam legalno verzijo in je stalno updateana)?

Prav zanimivo, da si ga fasal, pa tko "dober" antivirus maš gor ! :BUA:

Glede popravka pa tole. Popravek te bo rešil ugašanja PC, virus boš pa še vedno talal okoli.

Potrebuješ še fix za Saser, katerega zaženež v safe modu.

Pa veliko uspeha . :yea2:

[cyc]

Samo še ena mogoče za koga koristna informacija:

Ko sem omenil črno verzijo XP :naughty: in blokado instalacije SP ter popravkov sem imel v mislih problem, ki nastane, če pri instalaciji XP-jev uporabimo serijsko številko, ki se začne z FCKGW - itd.

Big deal, obstaja keygen in navodilo, kako na novo "registrirat" oz. spremenit vaso serijsko stevilko, ce ze o tem flancate :)

Je pa stvar sicer jasna - Wintendo legalno (ali pa vsaj pravilno scrackano :D), da lahko redno updateate sistem, brez tega ste sitting duck, sploh s stalno povezavo na net in idejo da antivirusnega programa ni fino met, kot je zapisal nekdo zgoraj. :naughty:

[ernessto73]

imaš pa bolj malo mailboxov na serverju ... ;) ...

Res bolj malo - 136 mailboxov. Od tega jih samo 16 dobiva okužene maile. Tu se res vidi kateri uporabniki so glavni spamerji.

Kar se pa ostalih priponk tiče... že več kot mesec se pripravljam zamenjat Amavis scanner za nekaj boljšega. Pa me vsakič mine, ko pomislim kaka jeba bo to spet nastavljat, da bosta Postfix in Sophos sodelovala :wacko: . Poleg tega moram dobit še zeleno luč vodstva za bolj drastične spremembe <_< . Blah, IT varnostna politika pri nas je zaenkrat samo v moji in šefovi glavi. Za vsako tako stvar morava speljat pravo kampanjo, da izpljunejo tiste fičnike :angry: .

[Kruse]

Pri virusih ti ne pomaga, ce imas se taksno zascito in blokiranje priponk na mail serverjih, ce so uporabniki "butasti".

Pri zadnji okuzbi v nasi firmi so v tajnistvu "kure" potegnile virus s svojih privat mail boxov prek porta 80. Nimas kaj za naredit, razen ce blokiramo internet, pa zapremo firmo.

Drugace pa, kakrsen koli antivirusni program je se zmeraj boljse kot nic. Pa malo zdrave pameti tudi ne skodi.

[CrashOver]

torej, vse uporabnike na izobraževanje :)

nič ne pomga kot pa res redne nadradnje, popravki itd.. seveda tudi pazljivost ni odveč... sicer pa meni so virusi včeš - njihov način delovanja, sestava, kaj naredijo.. itd.. zanimiva zadevca :)

pa tu se še lahko vprašamo, če so res hekeri tak pametni, al je mikrosoft tak tupi da dela tak slabe operacijske sisteme?!? :wacko: :blink:

kaj čemo... tak to je... bolezni so tud vedno nove, pa se jih s težavo izogibamo :)

ne se sekirat, pa backupe delat, pa bo :) hehe

LP

-matej

[cyc]

Zakaj mi ga ni Norton AntiVirus prepoznal (pa imam legalno verzijo in je stalno updateana)?

Saj si si ze sam odgovoril.

O Norton Antivirusu sem ze same slabe reci slisal in bil osebno prisoten ko NAV kljub updateu ni nasel virusa, F-Secure ga pa je, ko se je srecni lastnik znebil NAV in namestil F-Secure Antivirus. <_<

[cyc]

imaš pa bolj malo mailboxov na serverju ... ;) ... jaz na mailserverju blokiram vse žive priponke, okužene ali ne ...

Ce si ze pri tem, je se boljsi pristop, da precvikas ethernet kabel mail serverju :)

Resno - zakaj kar vse priponke blokiras? Konec koncev LookOut userji radi kar besedilo samo posljejo kot priponko v mailu ... ;)