Caja Madrid

El pasado 1 de Mayo se activó un nuevo virus informático al que se ha llamado Sasser y que por su daño y su elevada difusión se ha catalogado como muy peligroso.

03-05-2004 -  VIRUS: WIN32/SASSER.A

nombre: Win32/Sasser.A
aliases: Sasser, W32/Sasser-A, W32/Sasser.worm, W32/Sasser.A, WORM_SASSER.A
tipo: Gusano de Internet
fecha: 01/05/2004
tamaño: 15,872 Bytes
destructivo: Si
origen: Desconocido

· INFORMACION
Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en el parche MS04-011. Solo afecta computadoras bajo Windows XP o 2000, que no posean dicho parche instalado.

· CARACTERISTICAS
Existe una posible infección cuando se producen continuos cuelgues del proceso LSASS.EXE, y existe el siguiente archivo en el sistema:

c:win.log

Se genera tráfico excesivo en los siguientes puertos TCP:

445, 5554 y 9996

Análisis:

El gusano es un archivo de 15,872 bytes.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:windowsavserve.exe

NOTA: La carpeta "c:windows" puede variar de acuerdo al sistema operativo instalado ("c:winnt" en NT, "c:windows", en 9x, Me, XP, etc.).

También crea el siguiente archivo:
c:win.log

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
avserve = c:windowsavserve.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, muestra una ventana con un mensaje muy similar al siguiente:

En Windows 2000 se muestra una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:WIN.LOG registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

Jobaka3l

El uso de un cortafuego personal, disminuye el riesgo de infección.

· INSTRUCCIONES PARA ELIMINARLO

1. Descargue e instale el parche MS04-011 y luego reinicie el equipo:

Microsoft Security Bulletin MS04-011
www.microsoft.com/technet/security/bulletin/ms04-011.mspx

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

3. Elimine bajo la columna "Nombre", la entrada "avserve", en la siguiente clave del registro:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

4. En Windows NT, 2000 y XP, abra la siguiente clave del registro:

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

5. Cierre el editor del registro.

6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.