home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / sasser_virus.nasl < prev    next >
Text File  |  2005-03-31  |  2KB  |  74 lines
  1. #
  2. # Copyright (C) 2004 Tenable Network Security
  3. #
  4.  
  5. if(description)
  6. {
  7.  script_id(12219);
  8.  script_version ("$Revision: 1.4 $");
  9.  name["english"] = "Sasser Virus Detection";
  10.  
  11.  script_name(english:name["english"]);
  12.  
  13.  desc["english"] = "
  14. The Sasser worm is infecting this host.  Specifically,
  15. a backdoored command server may be listening on port 9995 or 9996
  16. and an ftp server (used to load malicious code) is listening on port 
  17. 5554 or 1023.  There is every indication that the host is currently 
  18. scanning and infecting other systems.  
  19.  
  20. See also : 
  21. http://www.lurhq.com/sasser.html
  22.  
  23. Solution: 
  24. - Use an Anti-Virus package to remove it.
  25. - See http://www.microsoft.com/technet/security/bulletin/ms04-011.asp
  26.  
  27. Risk factor : Critical";
  28.  
  29.  
  30.  script_description(english:desc["english"]);
  31.  
  32.  summary["english"] = "Sasser Virus Detection";
  33.  script_summary(english:summary["english"]);
  34.  
  35.  script_category(ACT_GATHER_INFO);
  36.  
  37.  script_copyright(
  38.   english:"This script is Copyright (C) 2004 Tenable Network Security",
  39.   francais:"Ce script est copyright (C) 2004 Tenable Network Security");
  40.  family["english"] = "Backdoors";
  41.  family["francais"] = "Backdoors";
  42.  script_family(english:family["english"], francais:family["francais"]);
  43.  script_require_ports(5554);
  44.  script_dependencies("find_service.nes");
  45.  exit(0);
  46. }
  47.  
  48. # start script
  49.  
  50. include("ftp_func.inc");
  51. login=string("anonymous");
  52. pass=string("bin");
  53.  
  54. # there really is no telling how many Sasser variants there will be :<
  55. ports[0] =  5554;           
  56. ports[1] =  1023;
  57.  
  58. for (i=0; ports[i]; i++) {
  59.     port = ports[i];
  60.     if (! get_port_state(port))  {
  61.         # do nuthin
  62.     } else { 
  63.         soc = open_sock_tcp(port);
  64.         if (soc) {
  65.             if(ftp_log_in(socket:soc, user:login, pass:pass)) security_hole(port);
  66.         }
  67.     }
  68. }
  69.  
  70.  
  71.  
  72.  
  73.  
  74.