se non è sasser?

[andreacsr]

Ciao a tutti.

Era da qualche giorno che non riuscivo a collegarmi ad inernet e ieri sono riuscito a ripristinare il collegamento.
Appena mi collego dopo pochi secondi mi si apre un avviso che mi dice che il mio pc sarà riavviato per un errore (mi pare 128) di LSASS.EXE.

Ho fatto una ricerca nel forum e tutto lascia presupporre che si tratti di sasser.
Il fatto però è questo: ho eseguito il tool di rimozione di sasser scaricato dal sito della symantec, il quale mi dice che il worm sasser non è stato trovato sul mio pc.

Devo procedere in modo diverso o si tratta di qualche altro virus?

[billiejoex]

devi patcharti. fai win update

[andreacsr]

si ma per debellare il virus??

[billiejoex]

fai una scansione con l'AV.
se non ne trova significa che non sei infetto, magari qualche buontempone ti ha exploitato facendoti semplicemente riavviare la macchina.
patchati al piu presto in ogni caso. Win update è d'obbligo.

[andreacsr]

scusa l'ignoranza ma cosa vuol dire exploitare?

[billiejoex]

exploitare significa sfruttare una determinata vulnerabilità di un programma o sistema operativo buggato.
ti sei mai chiesto perchè sasser o blaster infettano anche se tu non apri nessun eseguibile?
nel tuo caso sasser non è altro che un worm che sfrutta un applicativo buggato nel tuo sistema operativo. ma il problema a monte non è il worm sasser bensì la vulnerabilità che affligge lsass.exe.
Capirai quindi che come questa vulnerabilità può essere sfruttata da un worm per riavviarti la macchina, allo stesso modo può essere utilizzata da un eseguibile ad hoc (exploit) per scopi ben piu pericolosi che un semplice riavvio.
l'exploit, infatti, non si limita a riavviare una macchina ma fornisce una shell della stessa (buffer overflow), ovvero un "prompt di dos" remoto, dal quale un aggressore può fare pressochè di tutto, cancellare, modificare, sendare files.

è per questo che è importantissimo patchare. se il problema si limitava a un semplice riavvio questi worm non avrebbero fatto tanto scalpore, non credi?

[andreacsr]

ti ringrazio x la spiegazione.

scarico la patch e cmq appena ho tempo taglio la testa al toro con un bel format C: :metallica visto che il mio caro vecchio pc non è mai stato formattato

secondo te quindi se il mio antivirus (AntiVir aggiornato al 29/06/2004) non ha trovato sasser è praticamente certo che si tratti di un exploit?

grazie1000

[andreacsr]

faccio un altra domanda qui x evitare di aprire un altro thread forse inutile

leggendo i vari post viene quasi sempre detto di eseguire le scansioni (antivirus, ad-aware ecc.) in modalità provvisoria.

perchè in modalità provvisoria e non normale?

[andreacsr]

il mio SO è Windows2000

[billiejoex]

non è detto. olre a sasser ci sono altri worm che sfruttano la vulnerabilità lsass. se dopo una scansione con AV aggiornato non ti trova nulla è probabile che sia stato un exploit, ad ogni modo... PATCHA

leggendo i vari post viene quasi sempre detto di eseguire le scansioni (antivirus, ad-aware ecc.) in modalità provvisoria.

in modalità provvisoria vengono caricati solo i servizi essenziali per windows (non vengono neanche caricati i driver video), ragion per cui se hai un virus che parte in esecuzione automatica all'avvio in modalità provvisoria esso viene ignorato, e non essendo in uso dal sistema può essere eliminato dall'AV.

un altro consiglio che danno spesso quando si tenta una disinfezione è disabilitare ripristino configurazione di sistema (risorse del computer --> proprietà --> rcf). Questo perche l'utility oltre a immagazzinare i "dati di ripristino" in C:\System Volume Information, crea anche un "dump" (copia) dei file delle password del sistema SAM e SYSTEM, quindi la cartella risulta inaccessibile per ovvie ragioni di sicurezza, anche all'AV.