Wirus Sasser.D
Pojawiła się nowa odmiana znanego wirusa Sasser, oznaczona literką "d". Jest to robak sieciowy rozprzestrzeniający się przez internet za pośrednictwem luki w usłudze LSASS systemów Windows. Działa podobnie do robaka Lovesan (wykorzystującego lukę w usłudze RPC DCOM). Sasser.d infekuje komputery działające pod kontrolą systemów Windows 2000, Windows XP oraz Windows Server 2003.
Robak powstał przy użyciu środowiska programistycznego Visual C++. Rozmiar pliku szkodnika to około 16 KB (kompresja PECompact2). W zainfekowanym komputerze można zaobserwować następujące symptomy:
obecność pliku lsasss.exe w folderze systemu Windows,
pojawianie się komunikatu o błędzie usługi LSASS oraz ponowne uruchomienie komputera.
Różnice w stosunku do poprzedniej wersji (Sasser.c):
Plik tworzony przez robaka Sasser.d to lsasss.exeskynetave.exe). Odpowiednio różni się także wpis robaka w rejestrze systemowym.
Robak usuwa z rejestru wszystkie wpisy tworzone przez szkodniki Email-worm.Win32.Bagle oraz Trojan-Proxy.Win32.Mitglieder.
Nazwa unikatowego identyfikatora została zmieniona na SkynetNotice.
Po upłynięciu dwóch godzin od momentu uruchomienia robaka, na ekranie zainfekowanego komputera pojawia się komunikat:
1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar
the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS patch
from the www.microsoft.com website
4. This is an message from the SkyNet Team for
malicious activity prevention
Podczas atakowania zdalnego komputera Sasser.d uruchamia usługę FTP na porcie TCP 1023 oraz zdalną powłokę na porcie TCP 1022.