Ecco come riconoscere ed eliminare il fastidioso "worm". Attenzione alle mail che vi offrono la patch: sono infette

Doveva essere un baco informatico come tanti altri. Eppure in poche ore è riuscito a propagarsi in tutto il mondo, bloccare banche, aereoporti e creare disagi a piccole e grande aziende. Stiamo parlando di "Sasser" l'ultimo virus informatico salito agli onori della cronaca per aver contagiato milioni di computer. Diciamolo subito: niente di grave per gli utenti domestici del web. Il virus non danneggia alcunché, non cancella la memoria del pc, non permette l'accesso ad estranei al proprio computer. Niente di niente. È lontanissimo dalle tecniche di hacking tradizionali che di solito hanno uno scopo ben preciso: rubare dati, permettere accesso a macchine e reti protette, sfruttare risorse di sistema e networking per scopi illeciti all'insaputa degli amministratori. A Sasser (e a chi lo ha scritto) tutto questo non interessa.

"Sasser" fa una cosa sola ma la fa benissimo: si propaga in rete alla velocità della luce sfruttando una falla di Windows 2000, Windows Xp e Windows server 2003. Senza mail, senza interazione alcune dell'utente, senza niente di niente: è invisibile. Basta navigare in rete per una decina di minuti e se il pc non è aggiornato si è infettati. La questione è più seria di quanto possa sembrare: è vero, il "worm" non ha cattive intenzioni, si propaga e basta. Ma per farlo manda in "crash" le macchine su cui si trova e provoca danni economici ingenti a banche, aziende e istituzioni che devono eliminarlo.
L'anonimo creatore di "Sasser", e questa è una novità delle ultime ore, viste le contromisure adottate, ha pensato bene di uscire allo scoperto con un'altra diavoleria: questa volta è una mail che annuncia di allegare una patch per fare fronte ai problemi creati da "Sasser". Ma non è così. In realtà l'allegato, che si sta diffondendo sulle mail di tutto il mondo proprio in queste ore, è una beffa e conterrebbe un altro virus, il worm Netsky.

Per capire meglio di che si tratta vediamolo da vicino. "Sasser" sfrutta una vulnerabilità di Windows2000 e Xp documentata da tempo (Securtiy Bullettin MS04-011, 13 aprile). In pratica sfutta una falla di lsass.exe, componente di Windows, che si occupa di verificare la validità del nome utente e della password quando accediamo al nostro pc. La particolarità di questo worm sta nel fatto che è in grado di verificare un gran numero di indirizzi IP (computer connessi al web) casuali partendo da un pc connesso in rete: una volta trovato un sistema vulnerabile si riproduce nel computer vittima e ricomincia il processo da capo (scasione ip - riproduzione in rete). Senza che nessuno si sia accorto di nulla.

Tecnicamente una volta individuato il sistema da colpire, "Sasser" vi crea un terminale che, grazie a uno script, genera una connessione FTP (trasferiento di file). A questo punto il sistema remoto "scarica" il virus dal computer infetto dove precedentemente era stata creato un server FTP . E il processo continua. Attualmente esistono quattro varianti del virus: "a", "b", "c" e "d". La variante "c" è in grado di generare 1024 processi di scansione della rete contemporanei al posto dei canonici 128 di "a" e "b". I sintomi di infezione del pc sono sostanzialmente tre:
- riavvio improvviso del sistema per errori nel processo LSASS.EXE con un messaggio del tipo :"il processo di sistema c:\windows\system32\lsass.exe è terminato in modo non previsto dal codice di stato - 1073741819. Il sistema sarà riavviato"
- presenza del file avserve.exe nella directory di Windows (di avserve2.exe per la variante "b" e di skynetave.exe per la variante "d" del virus)
- presenza di questa chiave di registro: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "avserve.exe" = C:\WINDOWS\avserve.exe " sul file di registro del proprio pc.

Per evitare problemi di sorta consigliamo di aggiornare la propria macchina scaricando la patch per Windows2000, Xp e Server 2003. Per i dubbiosi Symantec ha fornito un tool per verificare la presenza del virus sul proprio pc e rimuoverlo. Anche Microsoft e F-sicure ha messo in rete qualcosa di simile per rimuovere le varianti "a","b", e "c" del virus. "Sasser" è un caso esemplare di ciò che gli esperti di sicurezza informatica definiscono un "programma maligno" (malware): richiede strategie di difesa completamente nuove rispetto al passato. Negli anni '90 ci si è preoccupati della sicurezza dei pc, ora il problema è la rete. L'unico modo per star tranquilli rimane quello di aggiornare periodicamente il proprio sistema operativo, correggendo eventuali "buchi"; installare e aggiornare un buon antivirus e, soprattutto, installare e aggiornare un buon firewall che tenga sott'occhio ciò che entra e ciò che esce dal nostro pc. Ultima considerazione: qualcuno sostiene che "Sasser" sia un virus scritto da pricipianti, semplicemente perché esula dalla logica classica dell'hacking. Sarà: intanto ha dimostrato ancora una volta la vulnerabilità dei sistemi Windows, e scusate se è poco.

Galleria Fotografica

4  maggio  2004

Tutti i segreti di Sasser   Le caratteristiche del worm che terrorizza la rete. I retroscena, i pericoli reali e i rimedi possibili e, forse, anche una beffa. Sasser, in versione originale e con le sue mutazioni B, C e D (quelle note al momento in cui scriviamo) si diffonde compiendo scansioni di indirizzi Ip vulnerabili. Punta alle porte Tcp/445 (utilizzata da sistemi Windows 2000, Xp e 2003 per comunicazioni Server Message Block over Tcp, molto usate per condivisione di file), 5554 (su cui installa un server Ftp necessario per la propagazione su host infettati) e 9996. Generalizzando, gli effetti di Sasser sono quelli di aumentare il carico della Cpu (a causa dei suoi tentativi di propagazione, molto aggressivi) e di portare al riavvio della macchina mediante il crash del componente Lsass. Se all'inizio Sasser è stato in parte sottovalutato (società di ricerca autorevoli quali eEye ne avevano svilito il potenziale), nei giorni immediatamente successivi molte aziende che commercializzano strumenti per la sicurezza hanno fatto dietro-front: Symantec ha assegnatoa Sasser.B il quarto gradino della propria scala di pericolosità, Trend Micro indica "high risk" e si è arrivati a parlare di 300 milioni di Pc a rischio. continua