Описание
Win32.HLLW.Jobaka (aka Sasser) - интернет-червь, поражающий компьютеры под управлением операционных систем Windows 2000/XP. Размер программного модуля червя, упакованного утилитой сжатия PECompact, 15 872 байт.
Для проникновения на компьютеры червь использует уязвимость, вызываемую переполнением буфера в сервисе LSASS операционных систем Microsoft Windows 200/XP, позволяющей нападающему проникнуть в компьютер и запустить в нем код на свое усмотрение без вмешательства пользователя.
В поисках подверженных данной уязвимости компьютеров червь сканирует случайные IP-адреса локальной подсети через порт TCP\\445. Сканирование производится по 128 потокам. В 50 процентах случаев генерация IP-адресов производится по случайному принципу, в 25% случаев адреса формируются с использованием первого байта инфицированного хоста, и в 25% случаев используются первые два байта хоста. Отсканированные IP-адреса логируются червем в файле c:\\win.log.
После нахождения уязвимого компьютера, червь отсылает на него специальным образом сконструированный запрос, посредством которого становится возможным организация переполнения буфера в сервисе LSASS.EXE, проникновение в систему и открытие порта TCP 9996 для прослушивания и ожидания последующих команд. В пораженной системе червь создает скрипт cmd.ftp, который получает команду загрузить и установить в системную директорию Windows (по умолчанию это C:\\Windows\\System32 или C:\\WINNT\\System32) двоичный модуль червя в виде файла *****_up.exe, где **** - пять выбранных случайным образом цифр. После этого червь открывает на инфицированном компьютере порт TCP\\ 5554 для прослушивания.
С целью избежать повторного заражения системы червь создает в ней семафор Jobaka3l. С этого момента новая жертва начинает действовать, как самостоятельный источник заражения. Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь вносит данные
avserve.exe=%Windir%\\avserve.exe
в реестровую запись
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
Деятельность червя в пораженной системе приводит к значительному снижению производительности инфицированного компьютера и отказу в работе сервиса LSASS.EXE. В последнем случае на экране дисплея будет демонстрироваться окно о невозможности функционирования сервиса, после которого последует автоматическая перезагрузка системы.