Sasser w Polsce

[OBRAZ]Według obserwacji CERT Polska, aktywność robaka Sasser powoli zaczyna maleć. Tendencja ta zostanie utrzymana, o ile nie pojawi się jakiś nowy wariant robaka (firmy antywirusowe zidentyfikowały obecnie 4 różne odmiany). Najwięcej przypadków Sassera zaobserwowano na komputerach użytkowników domowych oraz z sieci akademickich.

Wszystkie dane na stronie pochodzą z tworzonego przez zespół CERT Polska systemu wczesnego ostrzegania - ARAKIS. Obecnie za pomocą systemu monitorowanych jest około 2000 numerów IP. Źródłem informacji są pakiety odrzucane przez systemy firewall.

Od 1 maja do dzisiaj, do godziny 9:00, system zaobserwował około 1500 komputerów z Polski atakujących port 445/TCP. W większości przypadków są to najprawdopodobniej systemy zainfekowane robakiem Sasser. Łączna liczba numerów IP widziana ze świata w tym czasie wynosi około 150 000. Największą aktywność Sassera i jego odmian została zaobserwowana wieczorem 3 maja.

Systemy autonomiczne z Polski, z których zaobserwowano największe ilości źródeł ataków w ciągu ostatnich 24 godzin (do 9:00, 05.05.2004):

AS5617 299 TPNET
AS12741 69 INTERNETIA-AS
AS6778 47 BPTNet-AS
AS1887 45 NASK-ACADEMIC
AS8890 44 OCHOTA
AS8970 21 WASK
AS8267 18 CYFRONET-AS
AS15857 17 DIALOG-AS
AS8256 17 LODMAN-AS
AS13110 17 ICP-AS

Poza siecią TPNET, która z racji swej wielkości zazwyczaj w takich sytuacjach znajduje się na pierwszym miejscu (duża ilość użytkowników domowych), dominują sieci akademickie.

Poniżej podajemy linki do map i wykresów źródeł ataków z ostatnich 24 godzin: