Sasser é um worm de computador que se espalha de maneira diferente do clássico MyDoom.A e seus derivados. As primeiras infecções ocorreram em30 de abril de 2004em máquinas nas quais o patch de segurança fornecido pela Microsoft desde13 de abril de 2004 não foi aplicado.
Ao contrário de muitos outros worms, este worm não se espalhou por e - mail , mas explorou uma falha de segurança . Seu autor, um alemão com 18 anos na época, preso poucos dias após a liberação do verme, foi condenado à prisão preventiva. Ele agora trabalha para uma empresa de segurança de TI.
Dezenas de milhões de dólares
Este worm é propagado automaticamente pela porta 445 em qualquer máquina conectada na rede, se estiver equipada com o sistema operacional Microsoft Windows 2000 , Windows XP ou Windows Server 2003 e sem o patch necessário (ou se não estiver protegido por um firewall devidamente configurado )
Uma máquina infectada baixa um programa que é executado automaticamente sem o conhecimento do usuário. Este programa então procura na rede por máquinas que possam estar contaminadas e se propaga lá, se isso for possível. Entre os efeitos colaterais induzidos pela execução do vírus, há reinicializações indesejadas da máquina, bem como mensagens de erro.
Com um tamanho de 15.872 bytes (para a versão inicial), ele tira proveito de uma falha do Windows LSASS para baixar na máquina infectada um arquivo chamado avserve.exe no diretório do Windows via FTP e porta TCP 5554 e iniciar sua execução remota sem nenhum intervenção do usuário.
Em seguida, o worm se copia para o diretório System com um nome aleatório terminando em _up.exe . Ele modifica o registro para iniciar cada vez que ele é inicializado. Em seguida, ele inicia cento e vinte e oito processos simultâneos para fazer a varredura da rede e encontrar novos hosts. O sistema finalmente ficou instável, portanto, uma falha do lsass.exe e uma reinicialização automática acompanhada pela mensagem de erro: LSA Shell encontrou um problema e precisa ser fechado. Lamentamos o transtorno . (em francês: o LSA Shell encontrou um problema e precisa ser fechado.)
De acordo com as estimativas iniciais, vários milhões de máquinas foram afetadas por Sasser nos primeiros dias.
Como o Blaster ( Lovesan ), ele surgiu logo depois que a Microsoft lançou o patch MS04-011 para a vulnerabilidade que explora.
Os tipos de sistemas operacionais GNU / Linux , Mac OS , Unix ou outros não são suscetíveis ao vírus.
Um alemão de 18 anos, Sven Jaschan , autor do worm, foi preso pela polícia de seu país em7 de maio de 2004, apenas alguns dias após o lançamento do worm. Apesar dessa prisão, a variante E de Sasser apareceu na Internet. Ele teria confessado também ter criado o worm NetSky para se opor aos worms MyDoom e Bagle . Ele foi condenado em8 de julho de 2005 a uma pena suspensa, mas agora trabalha em uma empresa de segurança de computadores.
Dependendo dos fornecedores de antivírus, o nome de identificação do worm é diferente: W32/Sasser.x@MM, W32.Sasser.X@mm, WORM_SASSER.X, W32 / Sasser-X ou Win32.Sasser.X. "X" é uma nova variante: