Netsky-opphav krever ansvar for Sasser

Gjengen bak Netsky-virusene sier den står bak Sasser-ormen som sprer seg stadig raskere.

Den selvspredende Sasser-ormen fortsetter å spre seg med stor hastighet verden over. Europa er spesielt hardt rammet, og det er meldt at minibankautomater er slått ut i Taiwan. I USA er det i hovedsak meldt om problemer på universiteter, samtidig som flere Fortune 500-selskaper skal ha opplevd problemer.

    Les også:

Sasser-ormene utnytter en sårbarhet i Windows 2000, XP, 2003 Server og NT som Microsoft fikset i midten av mai. Infiserte maskiner skanner andre maskiner for sårbarheten, og kopierer seg dit den finner den. Ofre opplever at maskinen blir ustabil, og at nettverkstrafikken øker drastisk. Ormen installerer seg på harddisken og aktiveres hver gang den infiserte PC-en eller serveren slås av og på. De verste problemene for en organisasjon kommer når serverne stadig slår seg av og på, og tjenestene deres blir utilgjengelige.

Det er ennå ikke dokumentert noen bakdør, men Sasser installerer en ftp-server, og kan være lagt opp til å motta ytterligere skadekode.

Den første varianten av Sasser dukket opp fredag og spredte seg ikke spesielt raskt. Variant B fikk opp farten, og analytikerne som tok for seg gårsdagens variant C merket seg at den kunne opprette opptil 1024 skannende tråder, mot forgjengerens 128. Ifølge Trend Micro skanner Sasser.C 200 IP-adresser per sekund, på jakt etter sårbare PC-er og servere. I går ettermiddag ble en ytterligere forbedre variant D identifisert.

De store virusvernselskapene har lagt ut gratisrutiner som fjerner Sasser. Samtidig advarer de at man må installere Microsofts Windows-oppgradering fra midten av april, ellers risikerer man at maskinene blir smittet på nytt, med mindre man setter dem bak en brannmur som også blokkerer andre nyttige tjenester.

I går kveld anslo sikkerhetsselskapet Panda Software ormens spredningspotensial til 300 millioner maskiner verden over.

Sikkerhetsselskapene mener det mest oppsiktsvekkende ved Sasser er at det tok knapt to uker fra Microsoft offentliggjorde sårbarheten i Windows-tjenesten LSASS (Windows Local Security Authority Subsystem Service) til ormleverandørene kastet fra seg noe som utnyttet den effektivt. De advarer at organisasjoner er nødt til å ta lærdom av dette og sørge for å installere Microsofts fikser langt raskere enn tilfellet ser ut til å være i dag.

Microsoft samarbeider tett med en spesialisert politiavdeling, kalt North West Cyber Crime Task Force, for å identifisere gruppen bak Sasser. Samarbeidet ble innledet etter fjorårets ødeleggende Blaster-orm. Hittil har det ikke lykkes å få tak i noen av de virkelige opphavene til de store orm- og virusangrepene siden begynnelsen av 2003.

I går var virusvernselskapene også opptatt med å analysere en ny variant av Netsky-viruset, døpt AC. Dypt inne i koden fant de denne meldingen:

Hey, av (antivirus) firms, do you know that we have programmed the sasser virus?!? Yeah thats true! Why do you have named it sasser? A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are the Skynet.

Trass iherdig etterforskning gjennom mange måneder, har det ikke vært mulig å finne fram til hvem som tilhører denne beryktede virusgjengen, den såkalte Skynet Antivirus Team. (Navnet Skynet stammer fra Terminator-filmene, det er den myndigheten som sender roboten tilbake til fortiden for å verne seg mot et ennå ufødt barn.)

ZDNet har snakket med en ekspert – Joe Stewart fra IT-sikkerhetsselskapet Lurhq – som har fulgt oppfordringen om å sammenlikne Netsky med Sasser. Han sier det er flere slående likheter, og at det virker ganske sannsynlig at de opphavene har forsynt seg av det samme biblioteket av skadekode. Samtidig advarer han at likheten ikke utgjør noe avgjørende bevis.

Til toppen