1. /
  2. Security Response/
  3. W32.Sasser.C.Worm
  4. W32.Sasser.C.Worm

W32.Sasser.C.Worm

Nivel de riesgo2: Bajo

Detectado:
2 de Mayo de 2004
Actualizado:
13 de Febrero de 2007 12:24:48 PM
También conocido como:
W32/Sasser-C [Sophos], Worm.Win32.Sasser.c [Kaspersky, W32/Sasser.worm.c [McAfee], WORM_SASSER.C [Trend], Win32.Sasser.C [Computer Assoc
Tipo:
Worm
Longitud de la infección:
15,872 bytes
Sistemas afectados:
Windows 2000, Windows XP
Referencias CVE:
CAN-2003-0533


W32.Sasser.C.Worm es una variante de W32.Sasser.Worm. Trata de explorar la vulnerabilidad LSASS descrita en el boletín de seguridad de Microsoft MS04-011 y se dispersa por medio de la búsqueda y elección aleatoria de las direcciones IP de los sistemas vulnerables.

W32.Sasser.C.Worm difiere de W32.Sasser.Worm en:
  • Utiliza un mutex diferente: JumpallsNlsTillt
  • Inicia 1024 rutinas (en lugar de 128).
  • Utiliza un nombre de archivo diferente: avserve2.exe.
  • Tiene un MD5 diferente.
  • Crea un valor diferente en el registro: "avserve2.exe."


Notas:
  • Las definiciones del 2 de mayo 2004 versión 5/02/04 rev 38 (20040502.038) o posteriores detectan esta variable.
  • Este gusano maneja un hash MD5 con valor 0X831F4EE0A7D2D1113C80033F8D6AC372.
  • Se recomienda el bloqueo de los puertos TCP 5554, 9996 y 445 del firewall del perímetro y aplicar el parche adecuado de Microsoft (MS04-011) para evitar se explote esta vulnerabilidad.
  • Symantec Security Response ha desarrollado una herramienta de eliminación para eliminar infecciones causadas por W32.Sasser.C.Worm.


W32.Sasser.C.Worm se puede ejecutar en equipos con Windows 95/98/Me, pero no los infecta. Aunque los equipos con estos sistemas operativosno se infectan, si pueden ser utilizados para infectar equipos vulnerables a los que se puedan conectar. En este caso, el gusano tomará demasiados recursos del equipo, por lo que los programas no se podrá ejecutar de manera apropiada, incluyendo la herramienta de eliminación. En equipos con Windows 95/98/Me la herramienta deberá ejecutarse en modo a prueba de fallos.

Fechas de protección antivirus

  • Versión inicial de Rapid Release2 de Mayo de 2004
  • Última versión de Rapid Release5 de Marzo de 2008 revisión053
  • Versión inicial de Daily Certified2 de Mayo de 2004
  • Última versión de Daily Certified5 de Marzo de 2008 revisión054
  • Fecha de lanzamiento inicial de Weekly Certified2 de Mayo de 2004
Haga clic aquí para obtener una descripción detallada de las definiciones de virus de Rapid Release y Daily Certified.

Evaluación de las amenazas

Invasión

  • Nivel de invasión:Medium
  • Número de infecciones:50 - 999
  • Número de sitios:More than 10
  • Distribución geográfica:Low
  • Contención de la amenaza:Easy
  • Eliminación:Moderate

Daño

  • Nivel del daño:Low
  • Reduce el rendimiento:Genera una degradación significante del rendimiento del equipo.

Distribución

  • Nivel de distribución:High
  • Puertos:TCP 445, 5554, 9996
  • Objetivo de la infección:Sistemas sin parche vulnerables a LSASS explota - MS04-011.
Artículo de:Yuhui Huang