W32.Sasser.B.Worm

Cuando W32.Sasser.B.Worm se ejecuta realiza lo siguiente:

1. Intenta crear un mutex llamado JumpallsNlsTillt y finaliza su actividad si falla el intento. Esto asegura que el gusano no se ejecute en el equipo más de una ocasión en cualquier momento.
   
   
2. AIntenta crear un mutex llamado Jobaka3. Este mutex, aparentemente no tiene algún propósito.
   
   
3. Se copia así mismo como %Windir%\avserve2.exe.
   
   

   ---

   Nota: %Windir% es una variable. El gusano busca la carpeta de instalación de Windows (por defecto, esta es C:\Windows o C:\Winnt) y se copia así mismo en dicha carpeta.

   ---

   
   
4. Agrega el valor:
   
   "avserve2.exe"="%Windir%\avserve2.exe"
   
   a la llave de registro:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   por lo que el gusano se ejecuta al iniciar Windows.
   
   
5. Utiliza el AbortSystemShutdown API para estorbar que el equipo se reinicie o se apague.
   
   
6. Inicia un servidor FTP en el puerto TCP 5554. Este servidor se utiliza para dispersar el gusano en otros servidores.
   
   
7. Intenta en forma iterativa en todas las direcciones IP, buscando direcciones exceptuando las siguientes:
   
   • 127.0.0.1
   • 10.x.x.x
   • 172.16.x.x - 172.31.x.x (inclusive)
   • 192.168.x.x
   • 169.254.x.x
     
     
8. Utilizando una de estas direcciones IP, el gusano genera una dirección IP aleatoria:
   • 52% de las ocasiones, son completamente aleatorias
   • 23% de las ocasiones, los últimos tres octetos de la dirección IP se cambian por números aleatorios
   • 25% de las ocasiones, los últimos dos octetos de la dirección IP se cambian por números aleatorios
     
     

     ---

     Notas:
   • Un octeto corresponde a un sección de 8 bits, con los que se forma una dirección IP. Por ejemplo, si A.B.C.D es una dirección IP, A es el primer octeto, B es el segundo, C es el tercero y D es el cuarto.
   • Dado que el gusano puede crear direcciones completamente aleatorias, cualquier rango de direcciones IP puede quedar infectado.
   • Este proceso se realiza con 128 rutinas, las cuales demandan muchísimos recursos y tiempo del CPU. Como resultado, los equipos infectados se pueden tornar muy lentos y difícilmente utilizables.

     ---

     
     
9. Se conecta a una dirección IP generada aleatoriamente en el puerto TCP 445 para determinar si un equipo remoto está en línea.
   
   
10. Si se establece una conexión en un equipo remoto, el gusano enviará un código de manipulación shell al equipo, con lo cual puede abrir un shell remoto en el puerto TCP 9996.
    
    
11. Utiliza el shell en el equipo remoto para conectarse de nueco en el servidor FTP del equipo infectado sobre el puerto TCP 5554 y recupera una copia del gusano. Esta copia tendrá un nombre formado con cuatro o cinco dígitos seguidos de _up.exe. Por ejemplo 74354_up.exe.
    
    
12. El proceso Lsass.exe colapsará el sistema, después de que el gusano explote la vulnerabilidad de Windows LSASS. Windows mostrará la alerta y apagará el sistema en 1 minuto.
    
    
13. Crea un archivo en C:\win2.log que contiene la dirección IP del equipo más reciente, al que el gusano trató de infectar, así como el número de equipos infectados.
    

Symantec Gateway Security 5400 Series y Symantec Gateway Security v1.0

• Componente de Antivirus: Existe una actualización para Symantec Gateway Security AntiVirus que protege a los usuarios contra W32.Sasser.B.Worm se le recomienda a los usuarios de Symantec Gateway Security 5000, ejecutar LiveUpdate.
• Componente IDS/IPS: Existe una firma incluida en SU 8 para Symantec Gateway Security 5400 Series con la que se detectan los ataques que tratan de explotar la vulnerabilidad de Microsoft LSASS, la firma se liberó el 14 de abril. Existe una firma con la que se detectan los ataques que tratan de explotar la vulnerabilidad de Microsoft LSASS en SGS v1.0. Recomendamos a los usuarios de Symantec Gateway Security 5000 Series ejecutar LiveUpdate.
• Componente Full application inspection firewall: En forma predeterminada la tecnología full application inspection firewall protege a su red de la propagación de W32.Sasser.B.Worm bloqueando los el puerto TCP 445 y los backdoors en equipos infectados (TCP 554 Y 9996. Recomendamos insistentemente a los administradores verificar que sus políticas de seguridad no permitan la entrada de tráfico en esos puertos.

Symantec Enterprise Firewall 8.0
En forma predeterminada al seguir el asistente de configuración la tecnología full application inspection firewall protege a su red de la propagación de W32.Sasser.B.Worm bloqueando cualquier ataque en el puerto TCP 445 y los puertos del backdoor en los equipos infectados (TCP/5554, TCP/9996). Recomendamos insistentemente a los administradores verificar que las políticas de seguridad no permitan la entrada de tráfico en esos puertos.

Symantec Enterprise Firewall 7.0.x y Symantec VelociRaptor 1.5
En forma predeterminada al seguir el asistente de configuración la tecnología full application inspection firewall protege a su red de la propagación de W32.Sasser.B.Worm bloqueando cualquier ataque en el puerto TCP 445 y los puertos del backdoor en los equipos infectados (TCP/5554, TCP/9996). Recomendamos insistentemente a los administradores verificar que las políticas de seguridad no permitan la entrada de tráfico en esos puertos.

Symantec Clientless VPN Gateway 4400 Series
Esta amenaza no afecta a Symantec Clientless VPN Gateway v5.0. En forma predeterminadam bloquea a los puertos TCP 445, 5554 y 9996.

Symantec Gateway Security 300 Series
En forma predeterminada la tecnología stateful inspection firewall de Symantec evita el acceso de un atacante en el puerto TCP/445 en sistemas internos y los puertos del backdoor (TCP 5554, 9996) en sistemas infectados. Recomendamos insistentemente a los administradores verificar que las políticas de seguridad no permitan la entrada de tráfico en TCP/445, TCP/5554, TCP/9996 así como el uso de la función AVpe en SGS 300 series para asegurarse que todos los clientes estén actualizados con las definiciones de virus más recientes.

Symantec Firewall/VPN 100/200 Appliances
En forma predeterminada la tecnología stateful inspection firewall de Symantec evita el acceso de un atacante en el puerto TCP/445 en sistemas internos y los puertos del backdoor (TCP 5554, 9996) en sistemas infectados.

Symantec Host IDS 4.1/4.1.1
La actualización para evitar este gusano y sus variantes conocidas para Symantec Host IDS 4.1/4.1.1, están disponibles a través de Live Update.

Intruder Alert 3.6
Para detectar este gusano: Symantec liberó una actualización Intruder Alert 3.6 W32_Sasser_Worm.pol.

Symantec ManHunt
El 13 de abril del 2004, la firma Security Update 22 fue liberada para detectar los intentos de explotar la vulnerabilidad LSASS con "Microsoft RPC LSASS DS Request". Por lo que al momento de que W32.Sasser.B.Worm fue liberado, los usuarios con Symantec ManHunt estaban seguros con la protección "zero-day vulnerability".

Symantec Client Security
Symantec liberó un parche para Symantec Client Security 1.x y 2.0 con el que se identifica la vulnerabilidad LSASS con "Microsoft RPC LSASS DS Request". Si la aplicación de Sasser aún está presente en el sistema, todas las versiones de Symantec Client Security que mantengan la política predeterminada del firewall solicitarán al usuario Permitir/Bloquear/Configurar una regla para el gusano, al momento que intente iniciar un servidor FTP y enviar información hacia afuera. Las definiciones de virus para protegerlo de este gusano, están disponibles por medio de LiveUpdate o Intelligent Updater a partir del 1o de mayo del 2004.

Symantec NetRecon
La actualización 17 de Symantec NetRecon Security está disponible a partir del 4 de mayo del 2004, la cual detecta y reporta la vulnerabilidad LSASS.

Recomendaciones

Symantec Security Response invita a todos los usuarios y administradores a adoptar las siguientes "mejores prácticas" básicas de seguridad:

• Desactive y quite los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como servidores de FTP, telnet y servidores de web. A través de estos servicios ocurren buena parte de los ataques. Si se quitan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
• Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
• Mantenga siempre el parche actualizado, sobre todo en equipos que alojan servicios públicos, a los que se puede acceder a través de algún firewall, como servicios HTTP, FTP, de correo y DNS (por ejemplo: todos los equipos basados en Windows deben tener instalado el Service Pack actual).. Además, aplique cualquiera de las actualizaciones de seguridad que se mencionan en este artículo, en boletines de seguridad confiables o en sitios Web del proveedor.
• Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños o a reducir el daño cuando se ataca a un equipo.
• Configure el servidor de correo electrónico para que bloquee o elimine los mensajes que contengan adjuntos que se utilizan comúnmente para distribuir virus, como archivos .vbs, .bat, .exe, .pif y .scr.
• Separe rápidamente los equipos infectados para evitar que pongan en peligro otros equipos de la organización. Realice un análisis forense y restaure los equipos con medios que sean de su confianza.
• Instruya a sus empleados para que no abran adjuntos a menos que los estén esperando. No ejecute el software descargado desde Internet, a menos que lo haya analizado previamente en busca de virus. La sola visita a un sitio Web infectado puede infectar su sistema si ciertas vulnerabilidades del navegador no se corrigieron con los parches.

Resumen