Benvenuti su Ufone.net
E-mail
Reti Lan
 

Introduzione
Software
Hub
Schede di rete
Reti e Windows
Cablaggi
Consigli pratici LAN
Protocollo Tcp/Ip
ADSL
Server web e ISS5
Router bridge
Setting server e-mail
Sistema Ipcop - Linux
Server FTP
Server DNS
Server Bind

Sofware Voip
Server Sms
Energia Solare Server GREEN

 
 
Come rimuovere i Virus
 
 
 
Utility
   
 
Virus Sasser
Data di scoperta: venerdì 30 aprile 2004
Tipo: Worm
Rischio: Medio
Trasmissione del virus: Rete Internet
Piattaforma colpita: Windows
Danni: Apertura Backdoor per esecuzione codice nocivo, consumo risorse del computer e banda, possibili riavvii del sistema
Rimozione: Tool di Rimozione Symantec

Funzionamento
Il worm si esegue sui computer che non hanno provveduto ad aggiornare Microsoft Windows con le patch del bollettino MS04-011, anche senza cliccare sugli allegati delle mail infette.

Azioni
Il worm, dopo l'attivazione, compie le seguenti operazioni:

Copia se stesso nella directory di Windows con il nome avserve.exe.
Causa il riavvio del computer
Apre tre backdoor sulle porte 445, 5554, 9996 (TCP)
Attraverso queste porte cerca altri computer vulnerabili e invia loro il codice nocivo
Il processo di propagazione avviene secondo questa filiera. A ritmi di decine di computer al secondo, il worm cerca sulla rete i computer che hanno aperta la porta 445 TCP. Nel caso fosse aperta e il sistema fosse vulnerabile, il worm tenta di eseguire il proprio codice nocivo sul computer (il codice nocivo viene eseguito solamente se al computer aggredito non sono state applicate le patch del bollettino MS04-11 (o da Windows Update oppure dai link forniti nella pagina del bollettino).

Il codice eseguito sul computer non protetto apre una comunicazione sulla porta 9996. Attraverso questa porta, Sasser.B invia dell'altro codice che a sua volta apre un server FTP minimale sulla porta 5554. Attraverso questo server FTP, che rimane acceso anche al riavvio del computer, viene inviato al computer aggredito il codice del Worm.

Attraverso la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run il file avserve.exe viene attivato ad ogni avvio di Windows.

Si può rilevare il worm cercando, e trovando, (attraverso una ricerca tra i file) il file avserve.exe nella directory di Windows oppure il file win.log contenente degli indirizzi IP nella directory c:\ del proprio Hard Disk.

Rimozione Sasser
Scarica Tool di Rimozione Symantec - Scarica Tool di Rimozione Microsoft


Giochi online free
 
Slaking
SUB Commander
Tetris
 
 

DOS
  Introduzione
Comandi
 
 




| HomePage | Pubblicità | Contatti |
| Per viaggiare in Italia | Portale di storiadellarte | In diretta dalle Maldive |

Realizzazione grafica e contenuti di Ufone.net
E' vietata la riproduzione, anche solo in parte, di contenuti e grafica