Vírus Sasser recebe alerta vermelho

A nova praga se aproveita de uma vulnerabilidade do Windows denominada LSASS, que permite a execução remota de códigos, o que habilita o hacker a dominar completamente o sistema infectado. Para se propagar, o vírus envia pacotes para a porta 445 TCP de endereços IP variados. O pacote causa um buffer overflow nos sistemas vulneráveis, o que resultana execução de prompt remoto que abre aporta 9996.

Em seguida o vírus faz o download de seu código via porta 5554 usando um sistema FTP (File Transfer Protocol).Assim que o Sasser inicia o buffer overflow no arquivo LSASS.EXE, ele derruba dito programa e reinicia o Windows. O patch de correção para esta vulnerabilidade está disponível no site da Microsoft.

A Sophos, fabricante de soluções antivírus e anti-spam corporativas, ainda alerta os usuários para não cairem num truque de confiança segundo o qual o vírus Netsky chega via e-mail, disfarçando-se num aviso de uma empresa antivírus que diz que seu PC está infectado pelos vírus Sasser, Netsky AB, Bagle AB, MSBlaster B ou MyDoom F. Ao abrir o arquivo anexo, a praga se espalha para endereços do computador da vítima, espalhando o vírus ainda mais.

Escondido no código do vírus Netsky-AC segue o seguinte texto em que o autor deste afirma ser também o criador do Sasser: ‘Hey, av firms, do you know that we have programmed the sasser virus?!. Yeah thats true! Why do you have named it sasser? A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are the Skynet… ‘