061216

 

Introducción al virus Sasser

El virus Sasser (también conocido como W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b o Win32.Sasser) apareció en mayo de 2004 y es un virus que explota un agujero de seguridad de LSASS (Autoridad de seguridad local), que corresponde al archivo ejecutable lsass.exe) en Windows. La aparición del primer virus en explotar la falla de seguridad en LSASS de Windows se produjo apenas dos semanas después de que se publicara la falla y se lanzaran los primeros parches correctivos. Windows NT 4.0, 2000, XP y (en menor grado) Windows Server 2003 están todos afectados.

Cómo trabaja el virus

El virus Sasser está programado para ejecutar 128 procesos (1024 para la variante SasserC) que analizan una cantidad de direcciones IP aleatorias que buscan sistemas vulnerables a la falla LSASS en el puerto 455/TCP.

El virus instala un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo.

Después, cuando encuentra un equipo vulnerable, el gusano abre un shell remoto en el equipo (en el puerto TCO 9996) y hace que el equipo remoto descargue una copia del gusano (denominada avserve.exe o avserve2.exe para la variante Sasser.B) en el directorio de Windows.

Una vez que se descargó el archivo, el virus crea un archivo llamado win.log (o win2.log para la variante Sasser.B) en el directorio c:\ que registra la cantidad de equipos que pueden estar infectados.

El virus ejecuta «AbortSystemShutdown» para evitar que el usuario u otros virus reinicien el equipo (o lo desactiven).

Síntomas de infección

Explotar la vulnerabilidad de LSASS provoca algunos errores en los equipos afectados, los cuales están relacionados con el cierre de los servicios LSASS (proceso lsass.exe). Los sistemas vulnerables tienen los siguientes síntomas:

  • Reinicios no deseados.

  • Tráfico de red en puertos TCP 445, 5554 y 9996.

  • Cierre repentino de «LSASS.EXE» con un mensaje de error que dice: lsass.exe – error de aplicación.

Cómo eliminar el virus

Para eliminar el gusano Sasser, el mejor método es, en primer lugar, proteger el sistema mediante la activación del firewall. En Windows XP, dirigirse a Menú Inicio > Configuración > Panel de control > Conexiones de red

Después, hacer clic con el botón derecho del ratón en la conexión a Internet y hacer clic en Propiedades. Seleccionar la ficha «Opciones avanzadas», después marcar la casilla «Proteger mi equipo y mi red limitando o impidiendo el acceso al mismo desde Internet» y aplicarla al hacer clic en Aceptar.

Por último, se puede desinfectar el sistema con el kit de desinfección:

Descargue el kit de desinfección

Además, teniendo en cuenta que el virus se dispersa mediante el sistema de red de Microsoft Windows, se recomienda instalar un firewall personal en los equipos que están conectados a Internet y también filtrar puertos TCP/445, TCP/5554 y TCP/9996.

Fuente: http://es.ccm.net/contents/750-el-gusano-sasser


0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *