ประกาศแจ้งเตือนไวรัส W32.Sasser.worm ลักษณะอาการเหมือนกับ Worm Blaster
ค้นพบเมื่อ : 2 พฤษภาคม 2547
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : W32/Sasser.worm, WORM_SASSER.A, Sasser
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows Server 2003, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT
W32.Sasser.Worm หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ Windows LSASS หรือ MS04-011 ผ่านพอร์ต 445/TCP นอกจากนี้หนอนยังสามารถดาวน์โหลดและรันตัวเองด้วยโปรแกรม FTP ผ่านพอร์ต 5554/TCP ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า avserve.exe
เนื่องจากหนอนชนิดนี้ทำการโจมตีช่องโหว่ Windows LSASS หรือ MS04-011 ดังนั้นจึงควรทำการอัพเดต patch เพื่ออุดรอยรั่วของช่องโหว่ดังกล่าวโดยเร่งด่วน และทำการปิดกั้นพอร์ตดังต่อไปนี้ที่เราเตอร์ เกตเวย์ หรือไฟร์วอลล์ของเครือข่าย
พอร์ต 445/TCP เพราะเป็นพอร์ตที่หนอนใช้ในการโจมตี
พอร์ต 5554/TCP เป็นพอร์ตที่ใช้ในการดวาน์โหลดไฟล์ของหนอนด้วยโปรแกรม FTP
พอร์ต 9996/TCP เป็น Remote shell ที่ถูกเปิดโดยโปรแกรมประเภท Exploit ที่โจมตีช่องโหว่ Windows LSASS
จากรายงานที่ได้รับ เมื่อหนอนชนิดนี้รันตัวเองแล้ว จะส่งผลให้เครื่องปิดเองโดยอัตโนมัติ คล้ายกับผลกระทบที่เกิดจาก W32.Blaster.Worm
จากนั้นหนอนก็จะพยายามทำการแพร่กระจายตัวโดยสุ่มหมายเลข IP เพื่อหาเครื่องคอมพิวเตอร์ที่ยังไม่ได้ทำการอัพเดต patch MS04-011
ผลกระทบที่เกิดขึ้น
เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะสร้างพอร์ตที่ใช้ในการเชื่อมต่อ 5554/TCP และ 9996/TCP
ไม่สามารถใช้งานเครือข่ายได้ : เพราะว่าหนอนจะสแกนหา IP เพื่อทำการแพร่กระจาย ทำให้มีความคับคั่งของข้อมูลในเครือข่ายสูงมาก จนไม่สามารถใช้งานได้
อ่านเพิ่มเติมได้จาก ThaiCert
Technical Problems