ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Jobaka

(Net-Worm.Win32.Sasser.a, Exploit.MS04-011, Win32.Worm.Sasser.a, WORM_SASSER.GEN, Worm/Sasser.B.3, W32/Sasser.worm.a, Parser error, GenPack:Win32.Worm.Sasser.B, W32/Sasser.worm.gen, W32/Sasser.worm.b, Win32.Worm.Sasser.A, Win32.Worm.Sasser.C, Trojan.Peed.Gen, WORM_Generic.DIT, Generic.dx, I-Worm/Sasser.A, W32/Sasser.worm.f, Win32/Sasser.C!Worm, Exploit:Win32/Lsass, Win32/Sasser.B!Worm, Win32/Sasser.B, W32.Sasser.gen, Net-Worm.Win32.Sasser.e, Win32.Worm.Sasser.F, Worm/Generic.DXE)

Добавлен в вирусную базу Dr.Web: 2005-04-22

Описание добавлено:

Описание

Win32.HLLW.Jobaka (aka Sasser) - интернет-червь, поражающий компьютеры под управлением операционных систем Windows 2000/XP. Размер программного модуля червя, упакованного утилитой сжатия PECompact, 15 872 байт.

Для проникновения на компьютеры червь использует уязвимость, вызываемую переполнением буфера в сервисе LSASS операционных систем Microsoft Windows 200/XP, позволяющей нападающему проникнуть в компьютер и запустить в нем код на свое усмотрение без вмешательства пользователя.

В поисках подверженных данной уязвимости компьютеров червь сканирует случайные IP-адреса локальной подсети через порт TCP\\445. Сканирование производится по 128 потокам. В 50 процентах случаев генерация IP-адресов производится по случайному принципу, в 25% случаев адреса формируются с использованием первого байта инфицированного хоста, и в 25% случаев используются первые два байта хоста. Отсканированные IP-адреса логируются червем в файле c:\\win.log.

После нахождения уязвимого компьютера, червь отсылает на него специальным образом сконструированный запрос, посредством которого становится возможным организация переполнения буфера в сервисе LSASS.EXE, проникновение в систему и открытие порта TCP 9996 для прослушивания и ожидания последующих команд. В пораженной системе червь создает скрипт cmd.ftp, который получает команду загрузить и установить в системную директорию Windows (по умолчанию это C:\\Windows\\System32 или C:\\WINNT\\System32) двоичный модуль червя в виде файла *****_up.exe, где **** - пять выбранных случайным образом цифр. После этого червь открывает на инфицированном компьютере порт TCP\\ 5554 для прослушивания.

С целью избежать повторного заражения системы червь создает в ней семафор Jobaka3l. С этого момента новая жертва начинает действовать, как самостоятельный источник заражения. Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь вносит данные
avserve.exe=%Windir%\\avserve.exe
в реестровую запись
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

Деятельность червя в пораженной системе приводит к значительному снижению производительности инфицированного компьютера и отказу в работе сервиса LSASS.EXE. В последнем случае на экране дисплея будет демонстрироваться окно о невозможности функционирования сервиса, после которого последует автоматическая перезагрузка системы.