Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLW.Jobaka

(Net-Worm.Win32.Sasser.a, Exploit.MS04-011, Win32.Worm.Sasser.a, WORM_SASSER.GEN, Worm/Sasser.B.3, W32/Sasser.worm.a, Parser error, GenPack:Win32.Worm.Sasser.B, W32/Sasser.worm.gen, W32/Sasser.worm.b, Win32.Worm.Sasser.A, Win32.Worm.Sasser.C, Trojan.Peed.Gen, WORM_Generic.DIT, Generic.dx, I-Worm/Sasser.A, W32/Sasser.worm.f, Win32/Sasser.C!Worm, Exploit:Win32/Lsass, Win32/Sasser.B!Worm, Win32/Sasser.B, W32.Sasser.gen, Net-Worm.Win32.Sasser.e, Win32.Worm.Sasser.F, Worm/Generic.DXE)

Добавлен в вирусную базу Dr.Web: 2005-04-22

Описание добавлено:

Описание

Win32.HLLW.Jobaka (aka Sasser) - интернет-червь, поражающий компьютеры под управлением операционных систем Windows 2000/XP. Размер программного модуля червя, упакованного утилитой сжатия PECompact, 15 872 байт.

Для проникновения на компьютеры червь использует уязвимость, вызываемую переполнением буфера в сервисе LSASS операционных систем Microsoft Windows 200/XP, позволяющей нападающему проникнуть в компьютер и запустить в нем код на свое усмотрение без вмешательства пользователя.

В поисках подверженных данной уязвимости компьютеров червь сканирует случайные IP-адреса локальной подсети через порт TCP\\445. Сканирование производится по 128 потокам. В 50 процентах случаев генерация IP-адресов производится по случайному принципу, в 25% случаев адреса формируются с использованием первого байта инфицированного хоста, и в 25% случаев используются первые два байта хоста. Отсканированные IP-адреса логируются червем в файле c:\\win.log.

После нахождения уязвимого компьютера, червь отсылает на него специальным образом сконструированный запрос, посредством которого становится возможным организация переполнения буфера в сервисе LSASS.EXE, проникновение в систему и открытие порта TCP 9996 для прослушивания и ожидания последующих команд. В пораженной системе червь создает скрипт cmd.ftp, который получает команду загрузить и установить в системную директорию Windows (по умолчанию это C:\\Windows\\System32 или C:\\WINNT\\System32) двоичный модуль червя в виде файла *****_up.exe, где **** - пять выбранных случайным образом цифр. После этого червь открывает на инфицированном компьютере порт TCP\\ 5554 для прослушивания.

С целью избежать повторного заражения системы червь создает в ней семафор Jobaka3l. С этого момента новая жертва начинает действовать, как самостоятельный источник заражения. Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь вносит данные
avserve.exe=%Windir%\\avserve.exe
в реестровую запись
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

Деятельность червя в пораженной системе приводит к значительному снижению производительности инфицированного компьютера и отказу в работе сервиса LSASS.EXE. В последнем случае на экране дисплея будет демонстрироваться окно о невозможности функционирования сервиса, после которого последует автоматическая перезагрузка системы.

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

© «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А