Sasser har fått navnet sitt fordi en utnytter et hull i en komponent i Windows kalt Local Security Authority Subsystem Service, forkortet LSASS.
Fryktet nytt MSBlast
Ekspertene har lenge vært klar over muligheten for å utnytte LSASS til å gjøre ugagn, og var ikke overrasket da en orm som gjorde akkurat det ble oppdaget fredag i forrige uke.
Mange fryktet at en slik orm ville kunne gjøre minst like stor skade som den fryktede MSBlast, som i fjor høst herjet med PC-er over hele verden. Årsaken er at dette ikke er en orm som sprer seg gjennom e-posten, men som sniker seg inn på nettverk og PC-er via en svakhet i operativsystemet.
Amatør-arbeid
I dag er tonen betydelig mer avslappet. Det viser seg nemlig at Sasser-ormen er amatørmessig laget, og enkelt avskjæres av noenlunde vettuge sikkerhetsforanstaltninger på servere og nettverk. Og skulle du først være så uheldig å bli infisert, ser det så langt ikke ut til at den gjør annet enn å foreta en ukontrollert omstart av PC-en.
Annonse
– Den er så dårlig skrevet. Den kan nok gjøre mye skade, men er skrevet av noen som knapt klarer å få koden til å fungere, sier sikkerhetseksperten Marc Maiffret i selskapet eEye til News.com.
Farlig likevel?
Imidlertid har det tidligere skjedd at tilsynelatende primitive ormer har hatt skjulte, avanserte funskjoner. Det kan derfor tenkes at Sassers amatørmessige arkitektur kan være laget slik for å villede ekspertene.
Selskapet F-Secure tror mange vil få seg en overraskelse når de kommer på jobben i dag.
– Vi vet ikke hvor stort dette kommer til å bli, men vi venter at ting blir mye verre når folk tar med seg sine bærbare PC-er på jobben etter helga, sier virusekspert Mikko Lipponen i det finske selskapet til BBC.
Anslagene om spredning er spriker fra flere millioner infiserte maskiner til noen få tusen.
Viruset berører Windows 2000, Windows Server 2003 og Windows XP Professional og XP Home. Microsofts instruksjoner om hvordan man håndterer Sasser finner du HER.
Annonse
