Sasser nato dai writer di Netsky

La rivendicazione dei virus writer si trova nel codice dell'ultimo Netsky, che gira spacciandosi come cura per Sasser. Gli untori si divertono con giochini di parole davvero pesanti per gli utenti
La rivendicazione dei virus writer si trova nel codice dell'ultimo Netsky, che gira spacciandosi come cura per Sasser. Gli untori si divertono con giochini di parole davvero pesanti per gli utenti


Roma – Sono gli untori della lunga e temibile serie di worm Netsky ad aver confezionato e diffuso Sasser e le varianti del worm che vengono intercettate in tutto il mondo. Ad affermarlo sono gli stessi virus writer che parlano di se stessi come dello Skynet Antivirus Team .

La rivendicazione è contenuta, tanto per cambiare, nella variante AC di Netsky, la 30esima edizione di un worm che, come noto, ha colpito e continua a colpire sistemi in tutto il mondo. Non è la prima volta che il codice di programmazione viene usato da questi writer per inviare messaggi al mondo.

Secondo esperti come quelli di LURHQ le dichiarazioni contenute in Netsky.AC sono credibili o quantomeno plausibili, anche alla luce del fatto che vi sarebbero singolari somiglianze nel codice di Netsky e in quello di Sasser. “Non si può mai individuare un autore dal codice – spiegano gli esperti del Lab – ma siamo sicuri che i due worm contengono anche codice simile”. Che l’ipotesi sia credibile lo confermano anche le analisi di Trend Micro .

In Netsky.AC si legge:
“Hey, società antivirus, sapevate che abbiamo programmato noi il virus sasser? Si, è così. Perché lo avete chiamato sasser? Una dritta: compara il codice FTP-Server con quello di Skynet.V!! LooL! Noi siamo Skynet”

Come documentato nei lanci di SalvaPC , nei mesi scorsi una vera e propria Guerra dei Worm ha avuto luogo a spese degli utenti internet: bande rivali di writer si sono sfidati distribuendo codici aggressivi capaci di infettare decine di migliaia di computer non protetti.

Stando a Sophos , inoltre, il nuovo Netsky.AC si spaccia come cura per Sasser , inviandosi in email infette che sembrano spedite da società antivirus e che dovrebbero impedire la propagazione di Sasser.

“L’ultima variante di Netsky – spiega Sophos – si presenta come un’e-mail di una società antivirus, nella quale si avvisa che il proprio computer è stato infettato da Sasser, Netsky, Bagle, Blaster o da MyDoom. L’autore di Netsky sta cercando di far leva sulle paure degli utenti. La cosa peggiore da fare, infatti, è quella di lanciare il programma allegato”.

Ieri, infine, c’è anche stato tempo per leggere sulle agenzie una frase attribuita a Claudio Manganelli , componente del CNIPA , il Centro nazionale per l’informatica nella pubblica amministrazione, e presidente del Comitato tecnico nazionale per la sicurezza informatica nelle comunicazioni, che avrebbe affermato: “Cio’ che distingue il Sasser dagli altri virus è che non si propaga via email bensì attraverso i siti più comunemente visitati dagli utenti”.

Di seguito pubblichiamo una nota informativa agli utenti diffusa nelle scorse ore da Microsoft Italia in merito alla diffusione di Sasser.


In merito alla diffusione del virus Sasser, Microsoft raccomanda ai propri utenti di attenersi alle seguenti procedure per impedire che il virus, bloccando l’accesso a Internet, renda impossibile scaricare e installare sul proprio PC la patch MS04-011.

Nei computer vulnerabili il worm può provocare il blocco di LSASS.EXE, che provoca l’arresto del sistema operativo entro 60 secondi. In Windows XP è possibile impedire l’arresto del sistema utilizzando il comando predefinito “shutdown.exe -a”, mentre in Windows 2000 l’arresto non può essere evitato.

Nei sistemi Windows 2000 è possibile impedire il blocco di LSASS.EXE, e il conseguente riavvio del sistema operativo, scollegando il cavo di rete o disattivando la scheda di rete e quindi effettuando una delle seguenti operazioni per impedire al worm di bloccare LSASS.EXE:

1. Create un file di sola lettura denominato %systemroot%debugdcpromo.log, immettendo il seguente comando:
echo dcpromo >%systemroot%debugdcpromo.log & attrib +r %systemroot%debugdcpromo.log

NOTA: questa è la soluzione temporanea più efficace, poiché elimina completamente gli effetti della vulnerabilità impedendo l’esecuzione del codice interessato dal problema e funziona per tutti i pacchetti inviati a qualsiasi porta vulnerabile.

2. Attivate il filtro TCP/IP avanzato su tutte le schede di rete, per bloccare tutti i pacchetti TCP non richiesti in ingresso.

– Fate clic su Start, scegliete Esegui, digitate Control e premete INVIO.
– Nel Pannello di controllo fate doppio clic sull’icona Rete e connessioni remote.
– Fate clic con il pulsante destro del mouse sulla scheda connessa a Internet o alla rete colpita dal worm e scegliete Proprietà.
– Fate doppio clic su Protocollo Internet (TCP/IP).
– Fate clic su Avanzate.
– Passate alla scheda Opzioni.
– Fate doppio clic su Filtro TCP/IP.
– Selezionate la casella di controllo Attiva filtro TCP/IP (su tutte le schede).
– Selezionate il pulsante di opzione Autorizza solo situato sopra Porte TCP.

NOTA: NON aggiungete altre porte a questo elenco e NON selezionate il pulsante di opzione Autorizza solo situato sopra Porte UDP.

– Fate clic su OK quattro volte e, quando viene richiesto se riavviare il sistema, scegliete Sì (affinché le nuove impostazioni abbiano effetto è necessario il riavvio).

Di seguito è illustrata una soluzione alternativa che consente di bloccare qualsiasi tentativo di sfruttare la vulnerabilità tramite il protocollo TCP. Tuttavia, a differenza delle procedure descritte in precedenza, questa soluzione non impedisce ai pacchetti UDP appositamente predisposti di raggiungere le porte vulnerabili e non elimina completamente gli effetti della vulnerabilità.

3. Arrestate temporaneamente il servizio server immettendo il seguente comando: net stop server /y
NOTA: questa tecnica consente di bloccare esclusivamente gli attacchi che sfruttano le porte TCP 139 e 445.

Se il computer infetto viene riconnesso alla rete, può provocare un sovraccarico della connessione di rete locale, impedendo completamente il download degli aggiornamenti. Per disattivare temporaneamente il worm è possibile utilizzare Task Manager per arrestare i seguenti processi:
– Tutti i processi il cui nome inizia con almeno quattro cifre e termina con “_up.exe”, ad esempio 12345_up.exe
– Tutti i processi il cui nome inizia con avserve, ad esempio avserve.exe o avserve2.exe.
– Tutti i processi di nome skynetave.exe.

Dopo l’arresto di tutti i processi del worm, dovrebbe essere possibile scaricare l’aggiornamento per la protezione e lo strumento per la rimozione di Sasser .

Link copiato negli appunti

Ti potrebbe interessare

04 05 2004
Link copiato negli appunti