Si è diffuso rapidamente e con effetti devastanti! E' il nuovo virus della famiglia worm, chiamato "Sasser" (W32.Sasser.A e relative varianti). Ha colpito Trenitalia, Telecom, le Poste, il Viminale e tante altre Pubbliche Amministrazioni nonché aziende e imprese piccole e grandi. E poi, i computer "casalinghi"! Eppure l'allarme era già stato lanciato da numerose società specializzate nella sicurezza informatica che avevano segnalato la pericolosità di questo virus, addirittura nelle sue varianti A, B e C. Evidentemente chi possiede un computer, che sia Amministrazione Pubblica oppure Società o privato cittadino, non ha ancora compreso fino in fondo la "pericolosità" delle insidie informatiche che possono giungere dalla rete! La diffusione del worm cresce in maniera esponenziale poiché ogni sistema infetto può essere usato per cercare altri sistemi vulnerabili. Una volta infettato un computer, il worm si manifesta con il continuo ed improvviso riavvio del computer. Sasser si diffonde attraverso la scansione casuale di indirizzi IP (il codice che identifica un PC collegato ad Internet), sfruttando le vulnerabilità dei sistemi operativi Windows come la "buffer overrun". In particolare, il virus sfrutta un problema del servizio LSASS (Local Security Authority Subsystem Service) che può essere risolto applicando l'aggiornamento per la protezione, rilasciato il 13 aprile 2004, insieme al Bollettino Microsoft sulla sicurezza MS04-011. Quindi se si fosse fatto ricorso, successivamente a quella data, a Windows Update, si sarebbe sicuramente evitato l'attacco del virus. Se si è stati colpiti dal worm, è necessario eseguire alcune semplici operazioni, sufficienti a sanare sia la vulnerabilità della versione di Windows che si possiede sia per rimuovere il virus dal computer. Purtroppo, non è possibile scaricare gli aggiornamenti da Windows Update se prima non si blocca, momentaneamente, l'attività del virus. Infatti, se si tenterà un collegamento a Internet, Sasser inizierà la sua attività di scansione della rete e il nostro sistema andrà in blocco, avvertendo che verrà riavviato. Quindi, preventivamente, al momento della comparsa della segnalazione che informa sul riavvio del sistema, cliccate su Start, Esegui e, quindi, digitate nella riga di comando l'istruzione: shutdown –a. Infine cliccate su OK. In questo modo verrà interrotto il "countdown" per il riavvio del personal computer. Altra soluzione, per evitare il riavvio del computer, è usare il task manager e bloccare il processo "avserve.exe", cancellando anche il file dal nome omonimo dalla directory di Windows. Eseguita una di queste operazioni, installate innanzitutto la patch di sicurezza di Windows chiamata 835732 che è possibile scaricare direttamente da questo link della pagina del Microsoft Security Bullettin. Dopo aver aggiornato il sistema operativo, utilizzate il tool fornito da Microsoft per la scansione e la rimozione di Sasser da un sistema infetto. Potete scaricarlo direttamente utilizzando questo link all'area download Microsoft. Una volta scaricato, eseguilo manualmente. Infine, riavvia il sistema, aggiorna la protezione antivirus e tieniti costantemente informato sui nuovi allarmi diffusi da Microsoft. Inoltre, ricorda che una limitazione al proliferare di codice maligno attraverso Internet è data dall'utilizzo di un programma di firewall. (maggio 2004)