04/05-04   -   Pressemeddelelse

Moderat scanning fra Sasser ormene mod danske net

Angreb mod Windows sikkerhedshuller fra flere orme og værktøjer

Siden 1. maj har forskellige varianter af Sasser ormen angrebet Windows XP og 2000 maskiner på port 445, der giver adgang til LSASS sikkerhedshullet.

Moderat scanning fra Sasser ormene mod danske net
Angreb mod Windows sikkerhedshuller fra flere orme og værktøjer

Siden 1. maj har forskellige varianter af Sasser ormen angrebet Windows XP og 2000 maskiner på port 445, der giver adgang til LSASS sikkerhedshullet.

ktiviteten mod port 445 som vi har registreret på de netværk, eSec overvåger, ser sådan ud:

XXXXX

Grafen viser udviklingen af scanninger mod port 445 fra fredag den 30. april, hvor et netværk i gennemsnit var udsat for 10-20 angreb i timen. Disse før-Sasser angreb kom og kommer stadig fra forskellige værktøjer og trojanske programmer. Port 445 bruges især til fildeling, men kan også bruges til at inficere hvis man kan opnå administrator adgang. De trojanske programmer forsøger at få administrator adgang ved at bruge en liste af nemme-at-gætte kodeord.

Aktiviteten fra Sasser begynder at vise sig om eftermiddagen lørdag den 1. maj og fortsætter søndag den 2. maj. Døgnmønsteret viser at de fleste angribere er inficerede private PC´er i vores tidszone. De foreløbige tal for mandag 3. maj, der er vist i grafen, tyder på at den første arbejdsdag efter Sasser ormens udbrud ikke har ført til en voldsom eksplosion. Der bliver mandag scannet op til ca. 50 gange i timen. Dette betyder at en sårbar Windows PC ikke behøver at være på nettet meget mere end 1 minut før den bliver inficeret. Dette er slemt, men selve den gennemsnitlige trafikmængde er ikke så voldsom at den virker ødelæggende for netværket. Lokalt kan trafikmængden dog være meget større, specielt med den seneste variant af Sasser der scanner fra 1024 samtidige program-"tråde".

Der er nu 4 varianter af Sasser:

antal "tråde" der scanner samtidigt bagdørsport TCP brug af ping Kan køre på ormens filnavn
Sasser A 128 9996 nej XP og 2000 avserve.exe
Sasser B 128 9996 nej XP og 2000 avserve2.exe
Sasser C 1024 9996 nej XP og 2000 avserve2.exe
Sasser D 128 9995 ja XP skynetave.exe

Sikkerhedshullet er tilstede på Windows XP og 2000 maskiner der ikke har installeret hotfixen MS04-011, som Microsoft udsendte i starten af april 2004.

Ved vellykket infektion oprettes en "reverse shell" på tcp port 9996 (D-versionen bruger port 9995) hvorfra et script henter ormekoden over fra den FTP server der kører på tcp port 5554 på den først inficerede maskine.

Ormen installeres i registry og der er rapporter om at nogle Windows versioner rebooter vedvarende efter infektion. Ormen forsøger derefter at inficere andre gennem port 445. Ormen undgår private adresser og scanner helt tilfældige offentlige adresser i 50 % af tilfældene. I de resterende tilfælde vælges adresser, der ligger indenfor samme "klasse A" eller "klasse B" net som den inficerede PC. Det betyder at der ofte angribes "naboer" inden for samme udbyder.

Ved infektion bør man opdatere med den patch(MS04-011) fra Microsoft, der lukker sikkerhedshullet og dernæst få fjernet infektionen med antivirusværktøjer. Det er nødvendigt at fjerne muligheden for at maskinen geninficeres mens opdatering finder sted, så man kan evt. opgradere fra en CD eller sørge for at maskinen ikke kan nås på TCP port 445 ved at aktivere en firewall.

Antivirusleverandørerne har værktøjer til at fjerne Sasser ormen, Microsoft har et værktøj der fjerner version A og B. Nærmere information fra Microsoft om ormen findes her:

http://www.microsoft.com/security/incident/sasser.asp

Foruden Sasser optræder lige nu også forskellige andre angreb mod port 445 og angreb mod det samme sikkerhedshul (LSASS) gennem DCOM (port 135 og 1025) fra værktøjer og varianter af de trojanske programmer Gaobot/Agobot/Phatbot. Mange private PC´er er inficeret med Gaobot, der har over 100 varianter og kort fortalt giver hackerne fuld kontrol over PC´en.

Der optræder også angreb mod PCT/SSL sikkerhedshullet (også rettet med MS04-011) på port 443. Disse angreb retter sig også mod Windows NT.

Vi anbefaler private brugere:

Beskyt din PC med

1) En firewall. Windows XP har en indbygget firewall der kan aktiveres.

2) Opdatering. Sørg for automatisk opdatering fra Windows Update.

3) Antivirus. Sørg for at der sker automatisk opdatering når der er nye signaturer fra leverandøren

Vi anbefaler virksomheder:

1) Bloker trafik med Microsoft LAN orienterede protokoller ind og ud af firewall´en

2) Sørg for at interne maskiner og alle andre maskiner der får adgang til interne net er opdateret med seneste Microsoft hotfixes.

3) Sørg for at interne maskiner og alle andre maskiner der får adgang til interne net er opdateret med antivirus

4) Overvåg netværket for mistænkelig trafik

Relevant information

http://www.esec.dk