Nåværende angrep vil være på topp i dag og i morgen.
Den fjerde versjonen av ormen er nå ute. Det kan komme nye versjoner. Angrepene vil kunne blusse opp igjen. Den rammer stort sett private maskiner. Blaster har kommet i ti-talls varianter.
— Vi må nok belage oss på å leve lenge med Sasser, sier virusanalytiker Snorre Fagerland i Norman.
Knuser nettverk
Den siste og fjerde versjonen er mer effektiv og sender først et oppkall eller ping for å se om maskinen er der. Det kan bidra til å overbelaste nettverk, slik at nettstedet bryter midlertidig sammen.
Annonse
Ormen rammer også bedrifter. Mandag ble datasystemene til forsikringsselskapet If angrepet, antakelig som følge av oppkall- eller pingbeastning. Kundene kommer ikke frem på nettet. Kundetelefoner, som er koblet til kundebehandlingssystemet kan også være rammet.
Kun oppgraderinger fra Microsoft og brannmurer beskytter mot Sasser. Antivirusprogram kan ikke stoppe viruset, men fjerne det når det først er kommet inn.
Sasser likner på Blaster. Viruset eller ormen kommer direkte inn i datamaskiner fra nettet via et sikkerhetshull -uten å gå veien om e-post. Infiserte maskiner begynner å generere ip-adresser i store mengder eller bulk, og sender ormen videre til andre maskiner.
1024 prosesser
I versjoner C etableres 1024 parallelle prosesser i infiserte maskiner som hver og en spyr ut ip-adresser. I de to tidligere versjoner er det 128 slike parallelle prosesser. Foreløpig er det ikke kjent hvor mange prosesser som D-versjonen genererer
Infiserte maskiner blir ustabile og kan slå seg av når brukeren går på nett. Derfor kan det være vanskelig å få ta i oppgraderingen eller sikkerhetspatch fra Microsoft. Stabiliteten kan gjenopprettes ved å skru av prosessen avserve2.exe på oppgavebehandling eller task manager.
Det skal være forholdsvis enkelt å reparere skade og tette sikkerhetshullet via Windows oppgraderinger eller sikkerhetsselskaper. Symantec har en gratis virusopprydder eller -fikser på sin nettside. Norman vil få det.
Raskere
Tiden fra et sikkerhetshull blir oppdaget til et angrep kommer går stadig raskere. For ikke lenge siden kunne det gå et år før et ondsinnet angrep. I dag går det to til tre uker.
— Det vi kanskje frykter mest er at angrepet kommer umiddelbar etter at sikkerhetshullet er oppdaget (zero day attack, red.anm). Da vil vi kunne være forsvarsløse i lengre tider og skadene kan bli store, sier administrerende direktør Henrik Vaage i Symantec Norge.
Vaage registrerte et virusangrep hvert tolvte minutt da han søndag logget trafikken på sin egen private maskin hjemme. Med bredbånd øker sannsynligheten dramatisk for å bli rammet.
Fagerland i Norman sier at sju eller åtte prosent av alle private pc’er kan være rammet til nå. Vaage mener at dette kan være riktig. Det innebærer at minst 130.000 maskiner i Norge er rammet. I følge Gallup har 1,6 millioner norske hustander én eller flere maskiner.
Ukjent gjerningsmann
Sikkerhetsfolkene vet ikke hvem som har produsert viruset, men mye tider på at det er samme folk som står bak Netsky-familen. De har selv tatt på seg ansvaret for Sasser. Beviset skal være at en del av Sasser-koden ligger i en ny Netsky-orm.
Koden skal være enkel, ikke spesielt smart og nærmest amatørmessig.
Sasser utnytter og fått sitt navn etter et sikkerhetshull i Windows-komponenten Local Security Sub Service – LSASS. Den rammer Windows 2000 og XP Professional og Windows Server 2003.
Sasser starter en ftp-server og skaper økt nettrafikk, først på port 445, og på portene 5554 og 9996.
PandaLabs opplyser at 300 millioner pc-er over hele verden er sårbare for å bli rammet av ormen.
Annonse
