Duas novas cópias do Sasser baralham autoridades

11 mai 2004 16:59

Este artigo tem mais de 19 anos

Foi identificada mais uma versão do Sasser e uma nova família de worms com um modus operandi semelhante e escrito para a mesma vulnerabilidade. Ambas surgem depois da prisão do alegado autor do vírus original, baralhando as autoridades.

Uma nova variante do worm Sasser foi identificada. A versão F surge depois de Swen Jaschan, alegado autor do worm, ter sido detido no Sábado passado e apreendido todo o seu material informático - onde foi encontrado o código-fonte do Sasser, segundo notícia avançada na altura pela Associated Press - o que levanta algumas questões relativamente a autoria de mais este ataque.

Simultaneamente, as empresas de segurança identificaram uma nova família de worms com bastantes semelhanças em relação ao Sasser, que se explora a mesma vulnerabilidade do Windows, a componente Local Security Authority Subsystem Service (LSASS).

A situação está a lançar alguma confusão e a levar as autoridades e empresas de segurança a considerar a hipótese de Swen Jaschan não estar sozinho nesta "cruzada". Acredita-se que as novas versões possam ter sido lançadas por alguém que lhe está próximo e que terá os códigos fonte do programa na sua posse, avança o The Register com base na análise de um especialista de segurança do BitDefender Labs.

Para Paulo Silva, director técnico da Panda Software em Portugal coloca a hipótese do "Sasser.F ser criação de um hacker inexperiente que modificou ligeiramente o código do worm original". O responsável baseia-se numa análise evolutiva da família Sasser e nota que a última variante não inclui características novas, pelo que pode ter sido lançada por outra pessoa.

Contudo, considera também a possibilidade de que "o autor do Sasser não trabalhe sozinho e que seja outra pessoa a lançar estas variantes previamente criadas", adianta em comunicado de imprensa.

Os novos worms são considerados de baixa perigosidade. O Cycle A actua apagando os processos do Blaster e do Sasser (relativamente às versões A a D), lançando simultaneamente um ataque de negação de serviço contra o site da agência noticiosa da Republica Islâmica ou, em alternativa, contra o site da BBC caso o primeiro não esteja disponível a partir do dia 18, data para qual foi programado o ataque.

Por seu lado, o Sasser F que é uma cópia da variante A - uma das menos perigosas das quatro variantes até agora detectadas devido a falhas no código - é em tudo idêntica no código e nas funcionalidades programadas, diferenciando-se apenas no nome do ficheiro e nas chaves de registo utilizadas.

Jaschan, que entretanto foi libertado e aguarda julgamento em liberdade, é também suspeito de ter escrito todas as 28 versões do Netsky, embora para já não sejam conhecidas provas incriminatórias.