Internetem se včera začal šířit nový červ Sasser. Využívá chyby v operačních systémech Windows 2000, XP a 2003. Nešíří se jako většina červů e-mailem, ale přes některé porty. Zajímavostí je, že využívá chyby služby Local Security Authority Subsystem Service (LSASS), na kterou Microsoft 13. dubna tohoto roku vydal opravu.
Červ náhodně zkouší IP adresy a pokud narazí na otevřený port, dojde ke kontaktování FTP serveru, ze kterého se stáhne kód červa a dojde k jeho spuštění. Následně se červ usídlí ve Windows jako soubor avserve.exe a opět se snaží o další rozšiřování.
Soubor avserve.exe se spustí po každém naběhnutí systému. IP adresy zkouší nikoliv náhodně, nýbrž podle tohoto algoritmu: polovina adres je zcela náhodných, čtvrtina je tvořena první částí a další čtvrtina dvěma částmi IP adresy.
Podle antivirové společnosti F-Secure způsobuje Sasser po nakažení počítače jeho restart, podobně jako tomu bylo u červa Blaster.
Microsoft věnuje červu vlastní stránky. Na nich se může každý dozvědět co dělat, když dojde k nakažení jeho počítače. Ten lze rovněž otestovat, zda-li je záplatován tak, aby na něj Sasser nemohl.
Z dnešního rána je známa nová varianta červu a to Sasser.B. Liší se zejména tím, že jako jméno souboru ukládá do Windows avserve2.exe.
Červ Sasser není podle antivirových společností příliš nebezpečný. "Stačí však mít k internetu připojený nezazáplatovaný počítač a neštěstí může být na světě," tvrdí Mikko Hyppoenen z F-Secure. Zřejmě i proto byl statut z původní malé rizikovosti přehodnocen na střední možnost nákazy. Více o červu naleznete ve weblogu společnosti F-Secure.
