새서(컴퓨터 웜)

이 기사는 어떠한 출처도 인용하지 않는다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 기사를 개선하는 데 도움을 주십시오. 조달되지 않은 자재는 제거될 수 있습니다.출처 : "Sasser" 컴퓨터 웜– 뉴스 · 신문 · 서적 · 학자 · JSTOR (2015년 5월) (이 템플릿 메시지 삭제 방법 및 삭제 시기 확인)

새서 웜

기술명	Win32/Sasser (Microsoft) 웜: Win32/Sasser.[편지] (Microsoft) Net-Worm: W32/Sasser (F-Secure) Net-Worm: W32/Sasser.[편지] (F-secure) W32. 안전.웜(Symantec) W32. 안전.[편지] (시만텍) W32. 안전.[편지]웜(Symantec) W32/Sasser-[레터] (사진) Worm.Win32.[편지] (Shophos) W32. 안전.웜(Sophos) W32/Sasser.worm.[편지] (Sophos) WORM_SASER(트렌드 마이크로) WORM_SASER.[편지] (트렌드 마이크로) BAT_SASER[편지] (트렌드 마이크로)
유형	웜
작성자	스벤 야스찬
영향을 받는 운영 체제	Windows 2000, Windows XP

Saser는 취약한 버전의 Microsoft 운영 체제 Windows XP 및 Windows 2000을 실행하는 컴퓨터에 영향을 주는 컴퓨터 웜입니다.Saser는 취약한 포트를 통해 시스템을 부정 이용하는 것으로 확산됩니다.따라서 사용자의 개입 없이 확산될 수 있다는 점에서 특히 치명적이지만 적절하게 구성된 방화벽이나 Windows Update에서 시스템 업데이트를 다운로드하여 쉽게 중단될 수도 있습니다.Saser의 특정 취약점에 대한 정보는 MS04-011 게시판에 기재되어 있습니다.MS04-011 게시판에는 패치를 17일 전에 릴리스한 적이 있습니다.웜의 가장 큰 특징은 웜크래시 LSASS에 의해 나타나는 셧다운타이머입니다

역사와 효과

Saser는 2004년 4월 30일에 만들어졌습니다.이 웜은 영향을 받는 운영 체제의 LSASS(Local Security Authority Subsystem Service)로 알려진 컴포넌트의 버퍼 오버플로를 이용하여 확산되기 때문에 Sasser라는 이름이 붙여졌습니다.이 웜은 다양한 범위의 IP 주소를 스캔하여 주로 TCP 포트 445를 통해 피해자의 컴퓨터에 연결합니다.Microsoft 의 분석에 의하면, 포토 139 를 통해서도 퍼질 가능성이 있습니다.새서라고 불리는 여러 변종들.B, 새서.C, 그리고 새서.D는 며칠 안에 등장했습니다(원제 이름은 Saser).A) LSASS 취약성은 웜 릴리스 전 Microsoft가 2004년 4월 월간 보안 패키지를 배포하면서 패치를 적용했습니다.일부 기술 전문가들은 ^{[citation needed]}웜 라이터가 패치를 리버스 엔지니어링하여 보안 업데이트로 운영체제를 업그레이드하지 않은 수백만 대의 컴퓨터를 열 수 있는 취약성을 발견했다고 추측하고 있습니다.

새서의 영향으로는 통신사 아젠스 프랑스-프레세(AFP)가 몇 시간 동안 위성 통신을 모두 차단했으며 미국 항공사인 델타 항공은 컴퓨터 시스템이 웜에 의해 침수되어 대서양 횡단 비행을 몇 차례 취소해야 했다.북유럽 보험 회사 If와 그들의 핀란드 소유주 Sampo Bank는 완전히 중단되었고 핀란드에 있는 130개의 사무실을 닫아야 했다.영국 해안경비대는 전자지도 서비스를 몇 시간 동안 중단했고 골드만삭스, 도이치포스트, 유럽위원회도 이 웜에 문제가 있었다.룬드 대학 병원의 X-레이 부서는 4층 X-레이 기계를 모두 몇 시간 동안 사용하지 못하게 했고 응급 X-레이 환자들을 인근 병원으로 돌려보내야 했다.미주리 대학교는 이 웜에 대한 대응으로 더 넓은 인터넷으로부터 네트워크를 "전원 분리"해야 했다.

작가.

2004년 5월 7일 당시 기술대학 학생이었던 니더작센주 로텐부르크 출신의 18세 독일인 스벤 야스찬이 웜을 작성한 혐의로 체포됐다.독일 당국은 마이크로소프트가 25만 달러의 현상금을 제시한 것에 대한 응답으로 얻은 정보 때문에 Jaschan에게 인도되었다.

Jaschan의 친구 중 한 명이 마이크로소프트에 그의 친구가 이 웜을 만들었다고 알렸다.그는 또한 새서뿐만 아니라 넷스키도 밝혔다.Netsky 웜의 변형인 AC가 그의 창작물이었다.새서의 또 다른 변형, 새서.E는 체포 직후 유포된 것으로 밝혀졌다.감염된 컴퓨터에서 다른 웜을 제거하려고 시도한 유일한 변형입니다. Netsky가 그러하듯이 말이죠.

독일 법원은 그가 18세 이전에 이 벌레를 만들었다고 판결했기 때문에 Jaschan은 미성년자 재판을 받았다.이 벌레는 그의 18번째 생일(2004년 4월 29일)에 방출되었다.Sven Jaschan은 컴퓨터 사보타주와 불법 데이터 변경으로 유죄 판결을 받았다.2005년 7월 8일 금요일, 그는 21개월의 집행유예를 선고받았다.

부작용

특정 PC에 대한 웜 감염의 징후는 파일 존재 여부입니다.C:\win.log,C:\win2.log또는C:\WINDOWS\avserve2.exePC의 하드 디스크에서ftp.exeLSA Shell(Export Version)에서 랜덤으로 CPU 사용률이 100%일 뿐만 아니라 웜에서 사용되는 코드의 장애로 인해 랜덤하게 크래시가 발생합니다.웜의 가장 특징적인 증상은 웜크래시 LSASS.exe로 인해 나타나는 셧다운타이머입니다

회피책

셧다운 시퀀스는 Start 키를 누르고 Run 명령을 사용하여shutdown -a이렇게 하면 시스템 셧다운이 중단되므로 사용자는 하던 작업을 계속할 수 있습니다.shutdown.exe 파일은 Windows 2000에서는 기본적으로 사용할 수 없지만 Windows 2000 리소스 키트에서 설치할 수 있습니다.Windows XP에서 사용할 수 있습니다.웜이 컴퓨터를 셧다운하지 않도록 하는 두 번째 방법은 클럭의 시각 및/또는 날짜를 이전으로 변경하는 것입니다.셧다운 시간은 클럭이 설정된 미래로 이동합니다.

「 」를 참조해 주세요.

• 블래스터(컴퓨터 웜)
• 나키아(컴퓨터 웜)
• BlueKeep(보안 취약성)
• 주목할 만한 컴퓨터 바이러스 및 웜의 연대표

외부 링크

• Microsoft 보안 게시판:MS04-011
• 할 수 있다2003-0533
• 뷰트라크 ID 10108
• PC를 보호하는 방법 읽기 (Microsoft 보안 페이지) - 주요 안티바이러스 회사의 정보 페이지에 대한 링크가 포함되어 있습니다.
• 새로운 Windows Worm on the Loose (슬래시닷 기사)
• BBC의 웜의 영향에 대한 영향 보고서
• 독일어, 새서 제작 인정 (BBC뉴스)
• Saser 크리에이터가 징역형을 면하다 (BBC 뉴스)