Собственно, к сабжу:
(http://www.viruslist.com/alert.html?id=145080269)
Worm.Win32.Sasser.b
[ 01.05.2004 20:03, GMT +03:00, Москва ]
Опасность : высокая
Вирус-червь.
Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:
http://www.microsoft.com/technet/securi ... 4-011.mspx
Червь написан на языке C/C++, с использованием компилятора Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.
Размножение
При запуске червь регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.
Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "N_up.exe", где N - случайное число.
От себя: побудило меня это все написать то, что даже не все сисадмины проверяют доступные КРИТИЧЕСКИЕ обновления (а оно было опубликовано аж 13 апреля). Так что, господа и дамы, не ленитесь и не жалейте на это трафика...
Еще пара ссылок на утилиты, удаляющие вирусы:
http://securityresponse.symantec.com/av ... Sasser.exe
ftp://ftp.kaspersky.ru/utils/clrav.com
http://download.nai.com/products/mcafee ... tinger.exe
WBR, Leroi
