Samkvæmt skipun frá JReykdal, þá sendi ég uppfærsluna á eldri greininni sem aðra grein. Í uppfærslunni er m.a. gert ráð fyrir C og D útgáfuna af orminum auk ýmissa leiðréttinga og bætinga sem ég setti inn.

Nýr ormur hefur litið dagsins ljós og kallast hann Sasser. Tilgangur greinarinnar er að reyna að minnka útbreiðslu ormsins og hjálpa notendum að losna við hann ef þeir hafa nú þegar fengið hann.

Ef bil kemur í tenglana í þessari grein, þá skal fjarlægja þau áður en farið er á slóðina, annars virkar hún ekki. Reynt verður að hafa samstarf við yfirstjórnendur hugi.is um að uppfæra greinina um leið og bæta þarf inn nýjum upplýsingum eða leiðrétta.

Öll helstu hugtök sem koma hér fram eru útskýrð neðst í greininni. Hvet alla til að lesa greinarsvör ef það skyldu koma fram nánari upplýsingar um orminn eða leiðréttingar frá mér.


Hvað gerir Sasser ormurinn?
Sasser ormurinn dreifir sér áfram til annarra tölvu og hægir verulega á þeim tölvum sem hann er að nota til að dreifa sér áfram. Ormurinn þarf ekki á hjálp að halda frá notanda tölvunnar svo að dreifingin er nokkuð hröð. Hann kemur í veg fyrir að notandinn geti slökkt á tölvunni út frá venjulegum skipunum í kerfinu.

Hvenær á að athuga tölvurnar eftir orminum?
Einstaklingar sem eru með nettengdar tölvur ættu að athuga hvort ormurinn sé inn í tölvunni, hvort sem eldveggur er á milli tölvunnar og internetsins eða ekki. Ormurinn sýkir eingöngu tölvur með Windows 2000, Windows Server 2003 og Windows XP en hefur líka áhrif tölvur sem hafa NetMeeting í gangi. D útgáfan fer hins vegar ekki í gang á tölvum með Windows 2000 en sýkir þær samt sem áður. Ormurinn getur farið í gang í Windows 95, Windows 98 og Windows ME en hann sýkir þær ekki en hægir rosalega á þeim og getur sýkt aðrar tölvur.

Hver eru einkenni ormsins?
Nokkuð öruggt merki um að ormurinn sé í vélinni er sú ef forrit sem kallast LSASS.EXE er að hrynja reglulega eða ef að gluggi kemur upp og segir að tölvan muni slökkva á sér og telur niður í heila mínútu áður en sjálfvirk endurræsing á sér stað. Vefsíður virka ekki vel eða alls ekkert.

Hvernig er hægt að vernda margar tölvur?
Hægt er að koma í veg fyrir dreyfingu frá internetinu með því að koma í veg fyrir tengingar inn á TCP port 445, 5554, 9995 og 9996.

Windows er að koma með glugga sem telur niður og síðan endurræsist tölvan.
Farðu í Start og síðan í “Run…” (eða Windows takki og r) og skrifaðu inn skipunina “shutdown.exe -a” (án gæsalappa). Þetta ætti að koma í veg fyrir að tölvan slökkvi á sér.

Er komið eitthvað tól sem eyðir út orminum?
Symantec og líka Microsoft hafa gefið út tól sem leitar að útgáfum A, B, C og D af orminum. Ráðlagt er að keyra bæði tólin hvort fyrir sig til að vera örugg(ur) um að það hafi virkar. Hægt er að ná í þau á http://windows.stuff.is/worms/W32.Sasser.Worm/. Tólin uppfæra ekki tölvuna sjálfkrafa með vörnum til þess að koma í veg fyrir frekari smit. Farðu eftir lið 3 og 4 í spurningunni “Hvað geri ég ef ég er með orminn?” einu sinni áður en þú keyrir tólin.

Hvað ef ég er ekki með orminn?
Þrátt fyrir að þú sért ekki með orminn, þá gæti það enn þá gerst að hann komist inn á tölvuna þína. Mælt er með því að þú setjir inn plástur fyrir orminn (sjá spurningu fyrir neðan, lið 4).

Hvað geri ég ef ég er með orminn?
Þar sem höfundur greinarinn hefur ekki fengið orminn, þá hefur hann ekki prófað þessa aðferð. Auðveldast er samt að nota hreinsunartólið sem að Symantec hefur gefið út. Reynt er að hafa nýjustu útgáfuna á http://windows.stuff.is/worms/W32.Sasser.Worm/.

1. Athugaðu hvort þú sért með forrit sem heitir AVSERVE.EXE, AVSERVE2.EXE og skynetave.exe þar sem nafnið samanstendur af 4 eða 5 tölustöfum og “_up.exe” að aftan. Þetta er hægt að athuga með því að halda inni tökkunum Control, Alt og Delete á sama tíma og þá færðu upp annað hvort glugga sem hefur Windows merkið á eða ferð beint í “Task Manager”, ef þú færð fyrrnefnda gluggann, þá áttu að ýta á Task Manager, en annars heldurðu bara áfram. Ýttu síðan á flipa sem kallast “Processes” ef hann er ekki þegar valinn. Ýttu síðan á flokkaheitið “Image Name” og þá færðu allt í stafrófsröð. Athugaðu þá hvort að þú hefur forrit sem bera fyrrgreind nöfn.

2. Hægri-klikkaðu með músinni á öll forritin sem eru nefnd í lið 1 sem fundust opin og gerðu “End Process”. Núna hafa forritin verið stoppuð, en þau geta samt ræst aftur þegar þú gangsetur tölvuna eða skráir þig inn í hana næst. Þess vegna er mikilvægt að halda áfram að fara eftir þessum leiðbeiningum.

3. Áður en haldið er áfram, þá skal slökkva á System Restore. Leiðbeiningar fyrir það má finna á http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/doci d/2001111912274039?OpenDocument&src=sec_doc_nam. Það má kveikja á System Restore eftir að búið er að fara í gegnum leiðbeiningarnar.

4. Náðu í plástra gegn orminum. Hægt er að finna þá á slóðinni http://windows.stuff.is/worms/W32.Sasser.Worm/ (innlent niðurhal) og ná í plásturinn sem að hentar viðkomandi kerfi. Skráarnöfnin lýsa viðkomandi kerfi og hve marga bita þau eru. Ef þið eruð í vafa hvort þau eru 32bit eða 64bit, náið fyrst í 32bit útgáfuna og athugið hvort hún virki. Opnaðu plásturinn sem þú náðir í og fylgdu leiðbeiningum sem birtast og plásturinn gæti heimtað að þú endurræsir tölvuna eftir á svo hann virki. Ef þú vilt ekki ná í plásturinn af fyrrgreindri slóð, þá er hægt að fara á vefslóðina www.windowsupdate.com og uppfæra þaðan.

5. Það fyrsta sem skal gera er að uppfæra vírusvörnina sem þú hefur. Ef þú hefur endurræst tölvuna, þá ætti þér að vera óhætt gegn því að ormurinn smiti tölvuna aftur af netinu, eftir að þú hefur fjarlægt orminn. Endurtaktu nú lið 1 og 2 ef þú endurræstir tölvuna og ekki hafa hana tengda internetinu. Ef þú hefur ekki vírusvörn, þá er hægt að sækja reynsluútgáfu af einhverri sem þú finnur á netinu. Ef þú vilt ekki nota vírusvörnina eða getur það ekki, þá ætti að vera hægt að fara í Windows möppuna og eyða forritinu avserve.exe, avserve2.exe og/eða skynetave.exe og síðan forritinu með 4-5 tölustöfum og endingunni “_up.exe” í möppunni System32 sem hægt er að finna undir Windows möppunni. Windows mappan er oftast staðsett á C-drifinu í My Computer.

6. Taktu forritin úr Registry. Þessi liður er ekki nauðsynlegur þar sem forritið er þegar farið úr tölvunni. Ef þú kannt ekki á Registry, þá borgar sig ekki að fara eftir þessum lið nema með hjálp einstaklings sem hefur reynslu á Windows stýrikerfið. Ýttu á Start takkann og farðu í “Run…” (Líka hægt að halda inni Windows takka og r til að fá sömu niðurstöðu). Sláðu inn “regedt32.exe” inn í kassann við hliðina á “Open:” og ýttu á “OK”. Í Regedit skaltu vera efst í glugganum til vinstri og láta “My Computer” vera valið og halda síðan niðri Control takkanum og F til að fá upp “Find” gluggann. Í kassann við hliðina á “Find what:” skaltu skrifa inn avserve og ýta á “Find Next” takkann. Það gæti tekið smá stund að leita. Ef eitthvað finnst, þá á að hægri-klikka á færsluna sem hefur gildið “avserve.exe”=“%Windir%\avserve.exe” og “avserve2.exe”=“%Windir%\avserve2.exe”. Gerðu það sama fyrir skynetave.exe ef það forrit fannst í tölvunni þegar þú framkvæmdir lið 1. Eftir það er þér frjálst að loka forritinu.



Þeir sem vilja fræðast meira um orminn mega lesa áfram en þeir sem vilja bara fjarlægja hann þurfa ekki að lesa áfram.

Hvernig virkar ormurinn?
[Þessi hluti er að mestu þýddur frá Symantec.]

1. Þegar ormurinn er kominn inn í vélina, þá býr hann til vinnslusvæði með ákveðnu nafni en hættir síðan ef það mistekst. Það mistekst eingöngu ef kerfið sjálft neitar að búa vinnslusvæðið til eða ef það er þegar til og tryggir það að eingöngu eitt eintak af orminum er í vélinni á sama tíma.

2. Býr til annað vinnslusvæði sem heitir Jobaka3, sýnist ekki gegna neinum ákveðnum tilgangi. Gildir ekki um upprunalegu útgáfuna.

3. Afritar sjálfan sig á Windows möppuna undir nafninu avserve.exe, avserve2.exe eða skynetave.exe.

4. Bætir við færslu sem hefur gildið “ormur.exe”=“%Windir%\ormur.exe” (skipta út ormur.exe fyrir nafnið sem útgáfan tekur að sér) undir HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run í Registry. Ormurinn tryggir að hann ræsist alltaf þegar Windows ræsist.

5. Kemur í veg fyrir að hægt sé að slökkva á eða endurræsa tölvuna út frá Windows. Ekki D útgáfa.

6. Ræsir ákveðinn fjölda af þráðum til að reyna að hafa samband við tilviljunarkennda IP tölu á TCP porti 445. Þessi aðgerð orsakar það hægist verulega á tölvunni. Ef tölva svarar á tilviljunarkenndu IP tölunni, þá notar hann öryggisbrest í kerfinu til að opna TCP port 9996 (eða 9995) og gefur kerfinu skipanir í gegnum það. Í þessu tilfelli lætur hann tölvuna hafa samband við FTP þjóninn sem var búinn til og lætur hana fá eintak af sjálfum sér. Tölvan hefur sýkst og byrjar þetta sama ferli þar.

7. Býr til skrá á C:\win2.log sem inniheldur IP töluna að tölvunni sem hann reyndi að hafa samband við auk fjölda tölva sem hann hefur sýkt.



Hver er munurinn á milli útgáfanna af orminum?
Eftir því sem að útgáfunum fjölgar, þá eru smá breytingar gerðar á kóðanum en ég ætla að reyna að útskýra muninn.
A: Fyrsta útgáfan, fór í dreifingu 30. apríl. Sýkir Windows XP, Windows 2000 og Windows Server 2003. Býr til vinnslusvæðið Jobaka3l og keyrir 128 þræði í leit að IP tölum en dreifir sér eingöngu á IP tölur aðgengilegar frá venjulegu interneti. Notar forritsnafnið avserve.exe.
B: Önnur útgáfan, fór í dreifingu 1. maí. Sýkir sömu stýrikerfi. Býr til vinnslusvæðin JumpallsNlsTillt og Jobaka3 og keyrir 128 þræði. Notar forritsnafnið avserve2.exe.
C: Þriðja útgáfan, fór í dreifingu 2. maí. Sýkir sömu stýrikerfi. Býr til vinnslusvæðin JumpallsNlsTillt og Jobaka3 og keyrir 1024 þræði. Notar forritsnafnið avserve2.exe.
D: Fjórða útgáfan, fór í dreifingu 3. maí. Sýkir ekki Windows 2000. Býr til vinnslusvæðin SkynetSasserVersionWithPingFast og Jobaka3 og keyrir 128 þræði. Notar forritsnafnið skynetave.exe.





Vefsíðan á http://windows.stuff.is/worms/W32.Sasser.Worm/ verður uppfærð þegar ný tól koma fram á sjónarsviðið sem hjálpa til við að eyða orminum. Ég bið annars fólk um að spyrja mig ekki um persónulega hjálp í gegnum hugaskilaboð, irkið, MSN og svo framvegis, ég mun líklegast ekki hafa tíma til að anna því. Spyrjið frekar með því að svara greininni og athuga reglulega hvort að greinin hefur verið uppfærð.



Nokkur hugtök sem notuð voru í greininni: (mestallt fengið úr eldri grein eftir mig)

32bit - Windows útgáfur sem hannaðar eru fyrir 32bit örgjörva, þessi tegund örgjörva er sú algengasta á markaðnum í dag.

64bit - Sérstök Windows útgáfa sem notfærir sér 64bit örgjörva betur. 64bit útgáfur af stýrikerfinu geta ekki verið settur upp á örgjörvum sem eru 32bit.

Eldveggur - Íslensk þýðing á enska orðinu Firewall sem er forrit sem hægt er að ná í að internetinu eða innbyggt í búnað. Eldveggur er til þess að verjast gegn þeim aðgangi sem að hann er stilltur fyrir eða hleypa eingöngu þeirri internetumferð sem að hann er stilltur til að hleypa í gegn. Eldveggir geta verið vitlaust stilltir svo að ekki treysta þeim of vel.

IP tala - Til að internetið virki þarf að auðkenna tölvurnar sem hafa aðgang að internetinu með IP tölum svo að hægt sé að vita hvert að samskipti á milli tölva eiga að fara.

Ormur - Ákveðin tegund af vírusum sem krefst ekki líkamlegra viðbragða notenda til þess að senda sig áfram eins og til dæmis með opnun viðhengja í tölvupósti. Ormar geta samt verið forritaðir til þess að byrja að dreifast út frá forritum sem að viðkomandi opnar.

Port - Port geta verið númerið frá 1 og upp í 65535 og eru þau notuð til þess að auðvelda forritum til þess að hafa samskipti við forrit á öðrum tölvum. Ákveðnar tegundir af þjónustum og ákveðin forrit geta látið skráð rétt sinn til þess til þess að nota ákveðin port til þess að auðveldara sé að hafa samskipti við þau.

Registry - Windows stýrikerfið geymir stillingar í Registry og flettir þeim síðan upp þegar það þarf á þeim að halda.

Service Pack - Ákveðnir þjónustupakkar sem að fyrirtæki gefur út sem inniheldur margar viðbætur við stýrikerfið í einu svo að notendur þurfi ekki að leita uppi hverja og einustu viðbót og setja inn sérstaklega.

System Restore - Möguleiki sem fylgir með Windows ME og Windows XP og er gert til þess að flytja kerfið í það ástand sem það var í þegar afrit var gert, sérstaklega notað ef kerfið hrynur illilega.

Task Manager - Forrit sem fylgir með Windows NT kerfunum og er hægt að nota til ýmissa verka. Hægt er að sjá um ýmsa hluta kerfisins út frá þessu forriti.

TCP - Samskiptamáti á portum þar sem samband á milli véla á að haldast og krefst þess að tölvurnar sem hafa samskipti haldi sambandi við hvor aðra. Vélin sem á að taka á móti sendingunni verður að svara um að hún hafi móttekið pakkann, annars verður hann endursendur í ákveðin mörg skipti áður en sambandið slitnar.

Windows NT - Sérstök lína Windows stýrikerfa sem var upprunalega hönnuð til þess að þjóna notendum á staðarneti og keyra þjónustur. Kerfið var hannað til að vera öruggara og stöðugra en hin lína Windows stýrikerfanna. Stýrikerfislínan bar merkið NT þangað til Windows 2000 var gert og átti það að sameina Windows 9x línuna við NT línuna til að gera hana notandavænni. Windows XP og Windows 2003 eru líka afkomendur þessa samruna.


Höfundar greinarinnar tengist á engan hátt Microsoft, Symantec, öðrum vírusvarnarfyrirtækjum né höfundi Sasser ormsins. Höfundur ber ekki ábyrgð á neinum tjóni sem gæti orsakast vegna lesturs eða aðferða sem nefnd eru í greininni.