Nombre: W32/Sasser.A
Tipo: Gusano de Internet
Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A,
WORM_SASSER.A
Plataforma: Windows NT, 2000, XP
Fecha: 1/may/04
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996
Se trata de un gusano de redes, programado en Visual C++, que
se propaga explotando la vulnerabilidad en el proceso LSASS
(Local Security Authority Subsystem), reparada por Microsoft
en su parche MS04-011 (
Afecta computadoras que corran bajo Windows XP o 2000, sin el
parche MS04-011 instalado.
LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema. La naturaleza de esta
vulnerabilidad, se presta a ser explotada por un gusano o
virus informático, capaz de propagarse por las redes, y
"Sasser" es el primero que la utiliza.
El gusano se copia a si mismo en la carpeta de Windows con el
siguiente nombre:
c:\windows\avserve.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
También crea el siguiente archivo:
c:\win.log
Modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = c:\windows\avserve.exe
El gusano inicia 128 hilos de ejecución para escanear
direcciones IP seleccionadas al azar por el puerto TCP/445,
buscando sistemas vulnerables (TCP/445 es el puerto por
defecto para el servicio vulnerable).
Esto ocasiona a veces, el fallo de las computadoras que no
tienen el parche MS04-011 instalado.
En Windows XP, se muestra una ventana con un mensaje muy
similar al siguiente:
LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.
En Windows 2000 puede aparecer una ventana casi idéntica a la
provocada en Windows XP por el gusano Blaster (Lovsan):
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.
El gusano detecta la versión del sistema operativo, y utiliza
diferentes exploits para Windows XP y Windows 2000 (exploit
universal), y para Windows 2000 Advanced Server (SP4
exploit).
Windows 9x, Me y NT, no son vulnerables.
Si el ataque es exitoso, un shell (intérprete de comandos),
es iniciado en el puerto TCP/9996.
A través del shell, se instruye al equipo remoto a descargar
y ejecutar el gusano desde la computadora infectada,
utilizando el protocolo FTP. Para ello, se crea y ejecuta en
dicho equipo un script llamado CMD.FTP. El script descarga y
ejecuta a su vez al gusano propiamente dicho (con el nombre
#_UP.EXE), provocando la infección.
El servidor FTP escucha por el puerto TCP/5554 en todos los
equipos infectados, con el propósito de permitir la descarga
del gusano en otros sistemas que así también son infectados.
El archivo C:\WIN.LOG registra todas las transacciones FTP
realizadas.
El gusano crea el siguiente mutex para no ejecutarse más de
una vez en memoria:
Jobaka3l
EDITADO:Sorry no sabia que ya habian abierto otro post en HW. Cerrad este