Процесс LSASS. EXEПроцесс «LSASS. EXE» — часть подсистемы безопасности Windows NT, один из его служебных потоков поддерживает процедуру аутентификации локальных и сетевых пользователей. Разумеется, любые запросы на установление связи с другим компьютером проходят через эту службу. Вирус создавал от 128 до 1024 потоков, «шарящих» по Интернету, и атаковал операционные системы Windows 2000/XP/2003 через порт 445, якобы пытаясь установить сетевое взаимодействие по протоколу NetBIOS. На сей раз ошибочный фрагмент, приводящий к переполнению буфера, передаче управления на вирусный shell-код и «падению» процессов «LSASS. EXE» и «SERVICES. EXE», находился не в сторонней библиотеке, а непосредственно в теле одного из потоков этой службы. Червь Net-Worm. Win32.Sasser по своей внутренней организации был почти точной копией червя Net-Worm. Win32.Lovesan, за исключением, разумеется, «хитрой строки» и адресов в shell-коде. Даже команды от атакующей машины он слушал через порт с не слишком оригинальным номером 5554. Ничего удивительного, ведь к весне 2004 г. исходный текст червя Net-Worm. Win32.Lovesan был доступен каждому желающему. И опять «заплатка», выпущенная в срочном порядке, просто не успела помешать стремительному развитию эпидемии червя Net — Worm. Win32.Sasser. Негативное влияние червя ощутили на себе почта Тайваня, система управления авиарейсами Brittish Airways, фондовая биржа Франции, правительственные департаменты ЮАР и т. п. Всего в мае 2004 г. оказались зараженными более миллиона хостов. Интересно, что и против этого червя воевал специальный «контрчервь» — Net-Worm. Win32.Dabber. Впрочем, он не столько воевал, сколько паразитировал: зная интерфейс доступа через 5554-й порт, закачивал себя на зараженную машину и удалял «недруга», занимая его место. Microsoft анонсировала приз в 250 000 долл. тому, кто поможет отыскать автора червя Net-Worm. Win32.Sasser, и в мае 2004 года в лапы полиции угодил 18-летний немецкий школьник Свен Яшан. Он отделался условным сроком, а вскорости получил работу в одной из антивирусных фирм, что вызвало острую негативную реакцию со стороны компьютерной общественности.

Еще интересные статьи :