Sasser (computervirus)
Sasser is een computerworm die zich verspreidt op computers die draaien op Windows XP of Windows 2000. De worm kan zich verspreiden zonder dat de gebruiker daarvoor nodig is. Hij verspreidt zich niet als bijlage bij e-mails zoals vele andere wormen, maar door gebruik te maken van de bufferoverloop in de LSASS van het besmette besturingssysteem. Hij zorgt ervoor dat iedere 5 minuten het systeem opnieuw opgestart wordt.
| Storm Worm | ||||
|---|---|---|---|---|
| Basisinformatie | ||||
| Technische naam | Win32/Sasser | |||
| Type | computerworm | |||
| Aangetaste systemen | Microsoft Windows | |||
| Ontdekking | 30 april 2004 | |||
| Land van herkomst |  Duitsland
| |||
| Dreigingsanalyse | ||||
| Verspreiding | bufferoverloop | |||
| ||||
Sasser kwam het eerst voor op 30 april 2004.
LSASS.EXE houdt veel informatie bij over het systeem, die men ook de Local Security Policy is gaan noemen. De informatie is opgeslagen in het register. De meeste van de onderliggende beveiligingssystemen draaien in de context van het LSASS-proces.
De Sasserworm veroorzaakt zelf een bufferoverloop in de ingebouwde FTP-server waar een andere worm genaamd Dabber gebruik van maakt. Dabber schakelt Sasser uit, maar zet een nieuwe achterdeur open. Hiermee lijkt er een nieuw tijdperk te zijn aangebroken waarbij virussen en wormen niet alleen gebruikmaken van fouten in Windows zelf, maar ook van fouten in andere wormen.
Netsky bewerken
Beveiligingsexperts ontdekten dat teksten uit de broncode van het Sasser-virus in de richting wezen van de Netsky-auteurs, The Skynet Antivirus Team. De broncode van Sasser is voor een groot gedeelte gelijk aan die van de Netsky-worm en er zit een boodschap van de makers in.[1]
Aanhouding bewerken
Op 8 mei 2004 heeft de politie in het Duitse Rotenburg een 18-jarige jongen aangehouden die ervan verdacht wordt de maker te zijn van de Sasserworm.
Bronnen, noten en/of referenties
|