Премини към съдържанието
greystorm

Sasser, възможно ли е въобще да се излекува?

Препоръчан отговор


Комютъра ми е с Windows 2003 Enterprise SP1 Autopach jan 2006, инсталиран NOD 32 със последните ъпдейти, настроен много консервативно спрямо всичко.

Firewall Tinny Profesional Firewall 6.5.92, също много консервативно настроен.

Незнайно за мен от къде се сдобих със Sasser. NOD 32, дори не си и помисли да ми каже нещо, Firewall-a също. После опитах със Cleaners на NOD, Symantec, Microsoft, но съобщението със 60 секунди продължава да си се показва. Форматирах Целия Диск - никакъв резултат. направих му Low Level Format, също нищо не става. Обезверен съм и от глупостите които се пишат как може да се премахне. НЕ СТАВА. Има възможност аз да бъркам някъде със процедурите, но ...

Моля за помощ.

Също ако някой може да даде линк за Microsoft Windows 2003 Enterprice + sp1, който да може сам да се ъпдейтва, ще съм много признателен.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Доколкото си спомням за това имаше специална програмка която го маха,ако имаш Skype потарси ме с този nick с който съм тука и ще ти я пратя

Олеле след форамата не става аз писах преди да прочета всичко sad.gif и все пак ога да тия пратя за друго нямам идея какво би помогнало

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

За премахването на различните видове Sasser си има специални инструменти. Пусни Google да ти ги намери. :bye:

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

как да разбера какъв вид е моя, след като нито NOD, нито Symantec, нито, Kayspersky, успяха да въобще да го открият ´че съществува?

да не забравяме че съм правил и формат на ниско ниво. от къде ще дойде пак?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Прокарай ТОВА,ТОВА и ТОВА.Ако има сасерче няма да остане и следа от него,вече е сравнително стар вирус.


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

този проблем е доста често срещан /ъпдейт с SP2 и можеш да забравиш за този Sasser/

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

това може би е другия ми проблем. Неможе да се ъпдейтне, понеже ми е такава версията. като сложа СП2 и ми излиза аъобщение че неможе да validate уиндоус

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Така и така е отворена темата...

Моля обяснете (между другото) какво по-точно представлява този вирус за непросветените! ;)

Редактирано от GFreeman (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
да не забравяме че съм правил и формат на ниско ниво. от къде ще дойде пак?
а може HD да е чист и атаката да идва от някои отворен port

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
Моля обяснете (между другото) какво по-точно представлява този вирус за непросветените!

Sasser

Наричан още: Sasser.A, Worm.Win32.Sasser.a

Големина: 15872

Кратко описание

Sasser е Интернет червей, който използва за разпространението си уязвимостта MS04-011 (LSASS).

Тя се причинява от препълване на буфер в услугата Local Security Authority Subsystem и засяга машини:

- Работещи под Windows XP или Windows 2000

- Без кръпка срещу тази уязвимост

- Свързани към Интернет без защитна стена

За повече информация относно тази уязвимост и кръпките за нея вижте

http://www.microsoft.com/technet/security/...n/MS04-011.mspx

Признак за зараза е съществуването на файла 'C:\win.log' и чести откази на 'LSASS.EXE'.

Подробно описание

Sasser е написан на Visual C++ и се разпространява чрез един изпълним файл, пакетиран и защитен с няколко обвивки.

Заразяване на системата

Когато червеят влезе в системата той създава свое копие в директорията Windows под името 'avserve.exe'. Това копие се добавя в регистъра като

[sOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avserve.exe" = "%WinDir%\avserve.exe"

За да се гарантира стартирането на не повече от едно копие на червея, се създава mutex с име 'Jobaka3l'.

Разпространение по мрежата

Sasser използва уязвимостта MS04-011 (LSASS), за да получи достъп до отдалечени системи. Червеят стартира 128 сканиращи нишки, които да търсят уязвими системи на произволни IP адреси. Пробва се заразяване на порт 445, който е порта по подразбиране за Windows SMB комуникация при NT-базирани системи.

Изпробването може да доведе до отказ на незакърпените компютри.

При Windows 2000, потребителите могат да видят съобщение за грешка подобно на издаваното при заразяване с вируса MSBlaster.

При Windows XP, потребителите ще видят съобщение за грешка, което гласи:

LSA Shell (Export Version) has encountered a problem

and needs to close. We are sorry for the inconvenience.

Когато осъществява атаката, червеят първо определя версията на ОС на отдалечения компютър, след което използва подходящи параметри, за да го атакува.

Използват се различни параметри при

- Windows XP (универсален експлойт)

- Windows 2000 (универсален експлойт)

- Windows 2000 Advanced Server (SP4 екплойт)

Останалите ОС като Windows Me и NT не се заразяват от този червей.

Ако атаката е успешна на порт 9996 се стартира shell, през който Sasser инструктира отдалечения компютър да свали и стартира файла на червея от атакуващия компютър чрез използване на FTP. FTP сървърът подслушва на порт 5554 за всички заразени компютри. Транзакциите през FTP сървъра се записват в 'C:\win.log'.

TCP портовете, използвани от червея, са:

445/TCP: - порт, през който червеят атакува

5554/TCP: - FTP сървър на заразените системи

Автори на описанието: Гергей Ердей, 01 май 2004; F-Secure Corporation

Превод: НЛКВ - БАН

И по-полека със форматите на ниско ниво , защото след 3-4 не търси вече този хард . Имал съм същият проблем и го реших като си сложих добър FIREWALL . И проблемът не беше само при мене , а и при почти всички хора от лана и мога да кажа , че SP2 на WIN XP и NOD32 са безсилни към този червей . Ако имаш питания пиши на ЛС . :bye:

Редактирано от home (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

чудесно, а след всички cleaner-i които пуснах защо пак ми излиза съобщението. Започвам да си мисля че това е технически проблем

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Оправи ли проблема ?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Вероятно диагнозата за този червей не е вярна. Tiny е хибава стена, гадинката не минава оттам, а и всеки антивирус я хваща. Спри брояча и разследвай по - добре.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Направо се очудвам, че след толкова време все още има PC-а, които се заразяват с това чудо... и аз мисля, че може проблема да не е във вируса... защо не пробваш някой online скенер...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Регистрирайте се или влезете в профила си за да коментирате

Трябва да имате регистрация за да може да коментирате това

Регистрирайте се

Създайте нова регистрация в нашия форум. Лесно е!

Нова регистрация

Вход

Имате регистрация? Влезте от тук.

Вход

×

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите условия за ползване.