QR code per la pagina originale

Sasser: pericolosità critica per il virus senza mail

Si propaga tramite una scansione della Rete alla ricerca di macchine vulnerabili, colpisce una falla segnalata da Microsoft lo scorso 13 Aprile e genera forti allarmismi. Per evitare l'infezione è sufficiente installare l'apposita patch Microsoft.

,

Il suo nome è Sasser, e Symantec ha già evidenziato il grado di rischio in corso bollandolo con il grado di pericolosità 4. Il massimo è solo un punto più avanti, a grado 5.

Gli allarmi dei giorni passati non erano dunque semplice timore, ma erano fondati piuttosto sul reale pericolo che un codice di exploit venisse rilasciato e concretizzasse il terrore per un nuovo virus dal potenziale molto elevato. Puntualmente tutto è andato secondo previsioni e nel giro di circa 2 settimane dall’annuncio della falla al dispositivo LSASS dei sistemi Windows ecco l’exploit che mette a rischio tutti gli utenti privi di patch.

Sasser colpisce le macchine vulnerabili copiando se stesso nella directory di Windows con il nome avserve.exe, tentando di spegnere o riavviare il computer, aprendo tre backdoor (445, 5554, 9996) ed infine cercando nuove potenziali vittime tramite una ritmica scansione della Rete. A poche ore dalla versione originale del worm è seguita immediatamente una ancor più pericolosa versione B, ora come ora il vero maggiore pericolo segnalato dai principali organi antivirus. Senza aver a disposizione ulteriori specifiche, Joe Stewart del Security Service Provider LURHQ segnala altresì la scoperta della release Sasser.C: nelle prossime ore ulteriori specifiche su una situazione pericolosamente in evoluzione.

L’elevato allarme scatenato dal worm deriva dal fatto che non serve azione attiva alcuna da parte dell’utente per lanciare il worm. Non è sufficiente dunque evitare l’apertura di allegati potenzialmente pericolosi, perchè con Sasser la duplicazione del worm avviene tramite scansioni della Rete alla ricerca di nodi vulnerabili e non tramite il tradizionale invio di mail con allegato.

La nuova modalità è dunque l’arma principale del virus, e solo una estesa opera di divulgazione dell’invito all’installazione dell’apposita patch può mettere al riparo gli utenti da possibili sorprese. In tale ottica, fermo restando l’indispensabile applicazione dell’apposita patch, risulta più utile a fini preventivi un buon firewall piuttosto che il tradizionale antivirus. L’attenzione e la cura dell’utente nei confronti del proprio sistema risultano quindi essere sempre più condizioni imprescindibili al fine del mantenimento di una adeguata condizione di stabilità e sicurezza.

A disposizione, su SICUREZZA.HTML.it, le schede tecniche delle varie versioni del worm e le istruzioni per la messa in sicurezza dei sistemi potenzialmente sotto pericolo.