Dall Goldman Sachs di Hong Kong a 120 filiali della banca Sampo Finlandese, dal sistema metropolitano di Sydney ad un terzo degli uffici postali di Taiwan. Il worm Sasser, comparso nel weekend, ha già messo in ginocchio milioni di computer in tutto il mondo. Secondo Panda Software sono 300 milioni i computer che non hanno installato le patch correttive dei sistemi Microsoft disponibili sin dal 13 aprile. 300 milioni di potenziali vittime del worm.
[Per la rimozione fate riferimento ai tool segnalati nella scheda tecnica di
In Italia il worm ha creato i maggiori disagi sui computer delle Ferrovie dello Stato senza tuttavia creare problemi alla normale circolazione dei mezzi di trasporto. Colpiti anche Viminale e alcune postazioni di Telecom Italia. La situazione sembra tuttavia del tutto sotto controllo.
Sono 18 milioni i computer colpiti nelle prime ore di infezione. Considerando il weekend e le festività del primo maggio, si può ipotizzare una crescita dei malfunzionamenti nelle prossime giornate. Sasser non invia e-mail a valanga e non compromette i documenti sul proprio computer. Il principale sintomo del worm è il continuo ed improvviso riavvio del computer.
Il worm sfrutta la
L’autore del Worm è rimasto anonimo. Tuttavia l’ultima variante del worm Netsky, del quale sono state rintracciate quasi trenta versioni diverse, contiene all’interno del proprio codice un messaggio che, se confermato, potrebbe legare Netsky e Sasser ad un unico autore. Nel messaggio, riportato da Panda Software, si lancia un avvertimento alle aziende antivirus: «Hey, aziende di antivirus, sapete che siamo stati noi a programmare il virus Sasser?!?. Sì, è vero! Perché lo avete chiamato Sasser? Suggerimento: paragonate il codice del server FTP [di Sasser] con quello di Netsky.V!!! LooL! Noi siamo gli Skynet…»
Ci sono voluti solo diciannove giorni prima che la falla nella Local Security Authority Subsystem Service (LSASS) si trasfomasse in un pericoloso Worm che, diffondendosi a macchia d’olio, ha già messo in allerta tutte le principali agenzie e aziende di sicurezza del paese.
La filiera di produzione dei worm è già stata individuata dagli esperti di sicurezza. Dopo la pubblicazione dei bollettini in cui si definiscono i problemi di sicurezza dei software, i primi cracker si mettono in moto cercando di risalire dalle patch ai principi che le hanno generate, e dunque al bug di sicurezza del programma. Questo procedimento di Reverse Engineering permette di creare alcuni primi exploit che, diffusi in rete, diventano di dominio pubblico.
Piano piano l’exploit, ossia il codice che permette di sfruttare il problema di sicurezza, passa di mano in mano e viene perfezionato in modo da diventare stabile ed efficace. Se il codice non viene sfruttato per azioni di cracking o d’altro diventa worm.
Sasser ha seguito lo stesso percorso. Allarmi di exploit e di possibili worm erano stati segnalati già da alcune settimane mentre i primi exploit, quasi inoffensivi, erano disponibili già pochi giorni dopo il rilascio dei bollettini Microsoft avvenuti il 13 aprile. L’exploit definitivo, quello che probabilmente è stato utilizzato per Sasser, è comparso a fine aprile.
Il worm Sasser colpisce solamente i computer Windows XP e Windows 2000 che non hanno ancora applicato le patch dal sito di Windows Update. Dopo il caso
Sotto accusa allora è stato messo il sistema di aggiornamento di
Microsoft sta correndo ai ripari e il prossimo Service Pack 2 per Windows XP, ancora annunciato