Protezione da Virus

In merito alla diffusione del virus Sasser, Microsoft raccomanda ai propri utenti di attenersi alle seguenti procedure per impedire che il virus, bloccando l'accesso a Internet, renda impossibile scaricare e installare sul proprio PC la patch MS04-011. seguendo questo link è anche possibile verificare il livello di protezione del proprio PC.

Nei computer vulnerabili il worm può provocare il blocco di LSASS.EXE, che provoca l'arresto del sistema operativo entro 60 secondi. In Windows XP è possibile impedire l'arresto del sistema utilizzando il comando predefinito "shutdown.exe -a", mentre in Windows 2000 l'arresto non può essere evitato.

Nei sistemi Windows 2000 è possibile impedire il blocco di LSASS.EXE, e il conseguente riavvio del sistema operativo, scollegando il cavo di rete o disattivando la scheda di rete e quindi effettuando una delle seguenti operazioni per impedire al worm di bloccare LSASS.EXE:

1. Create un file di sola lettura denominato %systemroot%\debug\dcpromo.log, immettendo il seguente comando:
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

NOTA: questa è la soluzione temporanea più efficace, poiché elimina completamente gli effetti della vulnerabilità impedendo l'esecuzione del codice interessato dal problema e funziona per tutti i pacchetti inviati a qualsiasi porta vulnerabile.

2. Attivate il filtro TCP/IP avanzato su tutte le schede di rete, per bloccare tutti i pacchetti TCP non richiesti in ingresso.

- Fate clic su Start, scegliete Esegui, digitate Control e premete INVIO.
- Nel Pannello di controllo fate doppio clic sull'icona Rete e connessioni remote.
- Fate clic con il pulsante destro del mouse sulla scheda connessa a Internet o alla rete colpita dal worm e scegliete Proprietà.
- Fate doppio clic su Protocollo Internet (TCP/IP).
- Fate clic su Avanzate.
- Passate alla scheda Opzioni.
- Fate doppio clic su Filtro TCP/IP.
- Selezionate la casella di controllo Attiva filtro TCP/IP (su tutte le schede).
- Selezionate il pulsante di opzione Autorizza solo situato sopra Porte TCP.

NOTA: NON aggiungete altre porte a questo elenco e NON selezionate il pulsante di opzione Autorizza solo situato sopra Porte UDP.

- Fate clic su OK quattro volte e, quando viene richiesto se riavviare il sistema, scegliete Sì (affinché le nuove impostazioni abbiano effetto è necessario il riavvio).

Di seguito è illustrata una soluzione alternativa che consente di bloccare qualsiasi tentativo di sfruttare la vulnerabilità tramite il protocollo TCP. Tuttavia, a differenza delle procedure descritte in precedenza, questa soluzione non impedisce ai pacchetti UDP appositamente predisposti di raggiungere le porte vulnerabili e non elimina completamente gli effetti della vulnerabilità.

3. Arrestate temporaneamente il servizio server immettendo il seguente comando: net stop server /y
NOTA: questa tecnica consente di bloccare esclusivamente gli attacchi che sfruttano le porte TCP 139 e 445.

Se il computer infetto viene riconnesso alla rete, può provocare un sovraccarico della connessione di rete locale, impedendo completamente il download degli aggiornamenti. Per disattivare temporaneamente il worm è possibile utilizzare Task Manager per arrestare i seguenti processi:
- Tutti i processi il cui nome inizia con almeno quattro cifre e termina con "_up.exe", ad esempio 12345_up.exe
- Tutti i processi il cui nome inizia con avserve, ad esempio avserve.exe o avserve2.exe.
- Tutti i processi di nome skynetave.exe.

Dopo l'arresto di tutti i processi del worm, dovrebbe essere possibile scaricare l'aggiornamento per la protezione e lo strumento per la rimozione di Sasser.

con fonti provenienti da Microsoft e Punto-Informatico