كرم Sasser  منتشر شد

1 مه – 12 ارديبهشت

يك كرم اينترنتي با نام Sasser از جمعه شب شروع به فعاليت كرده است و از حفره موجود در ويندوز براي گسترش خود استفاده كرده است. اين كرم تابحال بسيار كندتر از MSBlast و Code Red عمل كرده است اما بتدريج سرعت مي گيرد.

شركت Symantec در ابتدا ميزان خطر اين كرم را 2 از 5 اعلام كرد. ( 5 بالاترين ميزان خطر را براي يك ويروس نشان مي دهد.) ساير شركتهاي ضدويروس مانند Network Associates نيز ميزان خطر آن را متسط اعلام كرده اند. هنوز آمار دقيقي از ميزان گسترش اين كرم اينترنتي بدست نيامده است اما يكي از مديران تيم پاسخگويي امنيتي Network Associates از گزارشهاي متعدد از شركتهاي مختلف درباره آلودگي به اين كرم خبر داده است.

البته تولد اين كرم اينترنتي قبلا پيش بيني شده بود و لذا متخصصان امنيت را متعجب نكرد. اين كرم بدون دخالت كاربر از كامپيوتر آلوده به كامپيوترهاي ديگر گسترش مي يابد. اين كرم بدنبال سيستم هاي قابل نفوذ مي گردد, سپس يك ارتباط راه دور با آنها برقرار مي كند . با يافتن يك قرباني جديد, يك سرور FTP بر روي آن نصب مي كند و خود را به ميزبان جديد منتقل مي كند. كرم ارتباط اوليه را روي پورت 9996 برقرار مي كند. پس از آلوده شدن يك كامپيوتر , سرور FTP روي پورت 5554 فايلهاي مورد نظر را دريافت مي كند. اين كرم از چند پردازه براي اسكن كردن آدرسهاي مختلف اينترنتي استفاده مي كند. اين اسكن كردن روي پورت 445 منجر به يافتن كامپيوتر داراي حفره در بخش LSASS ويندوز مي شود. مايكروسافت معتقد است كه اين كرم از طريق پورت 139 خود را منتشر مي كند. به هرحال هر دو كانال داده توسط پروتكل اشتراك فايل ويندوز به كار گرفته مي شوند و در بسياري از موارد توسط ISP ها بسته شده اند.

بنابر آناليزهاي انجام شده توسط مايكروسافت, اين كرم باعث از كار افتادن LSASS مي شود. پس از آن سيستم هاي آلوده با شمارش معكوس ظرف 60 ثانيه بازآغازي مي شوند. مايكروسافت روش پاك كردن دستي اين كرم را نيز آموزش داده است.