کرم Sasser  منتشر شد

1 مه – 12 اردیبهشت

یک کرم اینترنتی با نام Sasser از جمعه شب شروع به فعالیت کرده است و از حفره موجود در ویندوز برای گسترش خود استفاده کرده است. این کرم تابحال بسیار کندتر از MSBlast و Code Red عمل کرده است اما بتدریج سرعت می گیرد.

شرکت Symantec در ابتدا میزان خطر این کرم را 2 از 5 اعلام کرد. ( 5 بالاترین میزان خطر را برای یک ویروس نشان می دهد.) سایر شرکتهای ضدویروس مانند Network Associates نیز میزان خطر آن را متسط اعلام کرده اند. هنوز آمار دقیقی از میزان گسترش این کرم اینترنتی بدست نیامده است اما یکی از مدیران تیم پاسخگویی امنیتی Network Associates از گزارشهای متعدد از شرکتهای مختلف درباره آلودگی به این کرم خبر داده است.

البته تولد این کرم اینترنتی قبلا پیش بینی شده بود و لذا متخصصان امنیت را متعجب نکرد. این کرم بدون دخالت کاربر از کامپیوتر آلوده به کامپیوترهای دیگر گسترش می یابد. این کرم بدنبال سیستم های قابل نفوذ می گردد, سپس یک ارتباط راه دور با آنها برقرار می کند . با یافتن یک قربانی جدید, یک سرور FTP بر روی آن نصب می کند و خود را به میزبان جدید منتقل می کند. کرم ارتباط اولیه را روی پورت 9996 برقرار می کند. پس از آلوده شدن یک کامپیوتر , سرور FTP روی پورت 5554 فایلهای مورد نظر را دریافت می کند. این کرم از چند پردازه برای اسکن کردن آدرسهای مختلف اینترنتی استفاده می کند. این اسکن کردن روی پورت 445 منجر به یافتن کامپیوتر دارای حفره در بخش LSASS ویندوز می شود. مایکروسافت معتقد است که این کرم از طریق پورت 139 خود را منتشر می کند. به هرحال هر دو کانال داده توسط پروتکل اشتراک فایل ویندوز به کار گرفته می شوند و در بسیاری از موارد توسط ISP ها بسته شده اند.

بنابر آنالیزهای انجام شده توسط مایکروسافت, این کرم باعث از کار افتادن LSASS می شود. پس از آن سیستم های آلوده با شمارش معکوس ظرف 60 ثانیه بازآغازی می شوند. مایکروسافت روش پاک کردن دستی این کرم را نیز آموزش داده است.