home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / W32.Sasser.Worm.nasl < prev    next >
Text File  |  2005-03-31  |  2KB  |  69 lines
  1. # This script was written by Jeff Adams <jadams@netcentrics.com>
  2. # This script is Copyright (C) 2004 Jeff Adams
  3.  
  4.  
  5. if(description)
  6. {
  7.  script_id(12220);
  8.  
  9.  script_version("$Revision: 1.3 $");
  10.  
  11.  name["english"] = "W32.Sasser.Worm";
  12.  
  13.  script_name(english:name["english"]);
  14.  
  15.  desc["english"] = "
  16. W32.Sasser.Worm Infection.
  17. W32.Sasser.Worm is a worm that attempts to exploit the MS04-011 vulnerability. 
  18. It spreads by scanning randomly-chosen IP addresses for vulnerable systems.
  19. This plugin checks for W32.Sasser.Worm, W32.Sasser.B.Worm 
  20. and W32.Sasser.Ci.Worm Variants.
  21.  
  22. Solution : Use Latest Anti Virus to clean machine. Virus Definitions and removal tools are being released as of 05/01/04
  23.  
  24. Risk factor : High";
  25.  
  26.  
  27.  script_description(english:desc["english"]);
  28.  
  29.  summary["english"] = "Determines if Machine is infected with W32.Sasser.Worm";
  30.  
  31.  script_summary(english:summary["english"]);
  32.  
  33.  script_category(ACT_GATHER_INFO);
  34.  
  35.  script_copyright(english:"This script is Copyright (C) 2004 Jeff Adams");
  36.  family["english"] = "Windows";
  37.  script_family(english:family["english"]);
  38.  
  39.  script_dependencies("netbios_name_get.nasl",
  40.              "smb_login.nasl","smb_registry_access.nasl",
  41.             "smb_registry_full_access.nasl");
  42.  script_require_keys("SMB/name", "SMB/login", "SMB/password",
  43.              "SMB/domain","SMB/transport");
  44.  
  45.  script_require_ports(139, 445);
  46.  exit(0);
  47. }
  48.  
  49. # jwl notes:
  50. # several reasons to have a separate check for this worm
  51. # 1) IT shops are going to be running 1-off scans just for this worm
  52. # 2) variants are sure to come...this way, we just update variants below
  53. # 3) while there is a network-based check for this worm, many smarter companies
  54. #   will stop propogation of the worm by blocking 5554 and 9996 on core switches
  55. #   and routers
  56.  
  57. include("smb_nt.inc");
  58.  
  59. virus1 = registry_get_sz(key:"SOFTWARE\Microsoft\Windows\CurrentVersion\Run", item:"avserve.exe");
  60. virus2 = registry_get_sz(key:"SOFTWARE\Microsoft\Windows\CurrentVersion\Run", item:"avserve2.exe");
  61.  
  62. if(virus1 || virus2)
  63.  {
  64.   security_hole(get_kb_item("SMB/transport"));
  65.  }
  66.  
  67. exit(0);
  68.  
  69.