|||
Symantec.com > Security Response > W32.Sasser.C.Worm
IMPRIMIR ESTA PÁGINA

W32.Sasser.C.Worm

Nivel de riesgo 2: Bajo

Descargar herramienta de eliminación | Página de impresión

Detectado: 2 de Mayo de 2004
Actualizado: 13 de Febrero de 2007 12:24:48 PM
También conocido como: W32/Sasser-C [Sophos], Worm.Win32.Sasser.c [Kaspersky, W32/Sasser.worm.c [McAfee], WORM_SASSER.C [Trend], Win32.Sasser.C [Computer Assoc
Tipo: Gusano
Longitud de la infección: 15,872 bytes
Sistemas afectados: Windows 2000, Windows XP
Referencias CVE: CAN-2003-0533


Cuando W32.Sasser.C.Worm se ejecuta realiza lo siguiente:
    1. Intenta crear un mutex llamado JumpallsNlsTillt y finaliza su actividad si falla el intento. Esto asegura que el gusano no se ejecute en el equipo más de una ocasión en cualquier momento.

    2. AIntenta crear un mutex llamado Jobaka3. Este mutex, aparentemente no tiene algún propósito.

    3. Se copia así mismo como %Windir%\avserve2.exe.

      Nota: %Windir% es una variable. El gusano busca la carpeta de instalación de Windows (por defecto, esta es C:\Windows o C:\Winnt) y se copia así mismo en dicha carpeta.

    4. Agrega el valor:

      "avserve2.exe"="%Windir%\avserve2.exe"

      a la clave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      por lo que el gusano se ejecuta al iniciar Windows.

    5. Utiliza el AbortSystemShutdown API para estorbar que el equipo se reinicie o se apague.

    6. Inicia un servidor FTP en el puerto TCP 5554. Este servidor se utiliza para dispersar el gusano en otros servidores.

    7. Intenta en forma iterativa en todas las direcciones IP, buscando direcciones exceptuando las siguientes:
      • 127.0.0.1
      • 10.x.x.x
      • 172.16.x.x - 172.31.x.x (incluso)
      • 192.168.x.x
      • 169.254.x.x

    8. Utilizando una de estas direcciones IP, el gusano genera una dirección IP aleatoria:
      • 52% de las ocasiones, son completamente aleatorias
      • 23% de las ocasiones, los últimos tres octetos de la dirección IP se cambian por números aleatorios
      • 25% de las ocasiones, los últimos dos octetos de la dirección IP se cambian por números aleatorios

        Notas:
      • Un octeto corresponde a un sección de 8 bits, con los que se forma una dirección IP. Por ejemplo, si A.B.C.D es una dirección IP, A es el primer octeto, B es el segundo, C es el tercero y D es el cuarto.
      • Dado que el gusano puede crear direcciones completamente aleatorias, cualquier rango de direcciones IP puede quedar infectado.
      • Este proceso se realiza con más de 1024 rutinas, las cuales demandan muchísimos recursos y tiempo del CPU. Como resultado, los equipos infectados se pueden tornar muy lentos y difícilmente utilizables.

    9. Se conecta a una dirección IP generada aleatoriamente en el puerto TCP 445 para determinar si un equipo remoto está en línea.

    10. Si se establece una conexión en un equipo remoto, el gusano enviará un código de manipulación shell al equipo, con lo cual puede abrir un shell remoto en el puerto TCP 9996.

    11. Utiliza el shell en el equipo remoto para conectarse de nueco en el servidor FTP del equipo infectado sobre el puerto TCP 5554 y recupera una copia del gusano. Esta copia tendrá un nombre formado con cuatro o cinco dígitos seguidos de _up.exe. Por ejemplo 74354_up.exe.

    12. El proceso Lsass.exe colapsará el sistema, después de que el gusano explote la vulnerabilidad de Windows LSASS. Windows mostrará la alerta y apagará el sistema en 1 minuto.


    Recomendaciones

    Symantec Security Response invita a todos los usuarios y administradores a adoptar las siguientes "mejores prácticas" básicas de seguridad:

    • Desactive y quite los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como servidores de FTP, telnet y servidores de web. A través de estos servicios ocurren buena parte de los ataques. Si se quitan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
    • Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
    • Mantenga siempre el parche actualizado, sobre todo en equipos que alojan servicios públicos, a los que se puede acceder a través de algún firewall, como servicios HTTP, FTP, de correo y DNS (por ejemplo: todos los equipos basados en Windows deben tener instalado el Service Pack actual).. Además, aplique cualquiera de las actualizaciones de seguridad que se mencionan en este artículo, en boletines de seguridad confiables o en sitios Web del proveedor.
    • Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños o a reducir el daño cuando se ataca a un equipo.
    • Configure el servidor de correo electrónico para que bloquee o elimine los mensajes que contengan adjuntos que se utilizan comúnmente para distribuir virus, como archivos .vbs, .bat, .exe, .pif y .scr.
    • Separe rápidamente los equipos infectados para evitar que pongan en peligro otros equipos de la organización. Realice un análisis forense y restaure los equipos con medios que sean de su confianza.
    • Instruya a sus empleados para que no abran adjuntos a menos que los estén esperando. No ejecute el software descargado desde Internet, a menos que lo haya analizado previamente en busca de virus. La sola visita a un sitio Web infectado puede infectar su sistema si ciertas vulnerabilidades del navegador no se corrigieron con los parches.

    Artículo de: Yuhui Huang
    Norton 360 Versión 3.0
    ©1995 - 2009 Symantec Corporation
    Mapa del sitio|
    Nota legal|
    Política de privacidad|
    Contáctenos|
    Sitios mundiales|
    Acuerdos de licencia