Come posso scoprire un host infettato dal virus Blaster/Sasser?
8E4510, FW41IP5-U01
8E4511, FW42IP16-U01
Un host infettato da virus Blaster/Sasser invia in modo casuale un gran numero di pacchetti ICMP
e broadcast verso le porte 135, 137, 139 o 445 causano una congestione totale della rete e
conseguente paralisi delle comunicazioni LAN e WAN.
Analizzare il menu Status, Session Monitor, selezionare All per la voce Filter Option e cliccare su
Search per visualizzare tutte le sessioni NAT attive nella pagina NAT Session List.
Se è presente un host con molte sessioni di cui il protocollo (Protocol) è ICMP, e molte sessioni di cui la
porta di destinazione (Dest Port) è 135, 137, 139 or 445, questo host potrebbe essere infetto dal virus
Blaster/Sasser.
Un host vittima di questo tipo di infezione potrebbe presentare i seguenti sintomi:
Blaster
• Crash e riavvii spontanei e non spiegabili
• Link di navigazione con Internet Explorer non raggiungibili o aperti solo parzialmente
• Operazioni di Copia/incolla non funzionanti
• Applicazioni come Word con comportamento impredicibile
• Accesso e scansione degli host di rete lentissima
• Presenza nel Task Manager di un processo chiamato msblast.exe
Sasser
• Crash e riavvii spontanei e non spiegabili
• Presenza nel Task Manager di un processo chiamato avserve.exe, avserve2.exe oppure
skynetave.exe
• Presenza di uno o più file chiamati avserve.exe, avserve2.exe oppure skynetave.exe nella
cartella di sistema
• Velocità del sistema bassissima, occupazione della CPU al 100%
4/4
