|||
Symantec.com > Security Response > W32.Sasser.Worm
IMPRIMIR ESTA PÁGINA

W32.Sasser.Worm

Nível do risco 2: Baixo

Fazer o download da ferramenta de remoção | Versão para impressão

Descoberto: 30 de Abril de 2004
Atualizado: 13 de Fevereiro de 2007 12:23:17 PM
Também conhecido como: W32/Sasser.worm.a [McAfee], WORM_SASSER.A [Trend], Worm.Win32.Sasser.a [Kaspersky, W32/Sasser-A [Sophos], Win32.Sasser.A [Computer Assoc, Sasser [F-Secure], W32/Sasser.A.worm [Panda]
Tipo: worm
Extensão da infecção: 15,872 bytes
Sistemas afetados: Windows 2000, Windows XP
Referências CVE: CAN-2003-0533


Quando o W32.Sasser.Worm é executado, ele faz o seguinte:
    1. Tenta criar um mutex chamado Jobaka3l e é finalizado se a tentativa falha. Isso assegura que não mais de uma instância do worm pode ser executada em um computador ao mesmo tempo.
    2. Cria uma cópia de si mesmo como %Windir%\avserve.exe.

      Nota: %Windir% é uma variável. O worm localiza a pasta de instalação do Windows (por padrão C:\Windows ou C:\Winnt) e cria uma cópia de si mesmo para esse local.

    3. Adiciona o valor:

      "avserve.exe"="%Windir%\avserve.exe"

      à chave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      para que o worm seja executado sempre que o Windows for iniciado.

    4. Utiliza a API AbortSystemShutdown para atrapalhar as tentativas de desligar ou reiniciar o computador.

    5. Inicia um servidor FTP na porta TCP 5554. Este servidor é usado para disseminar o worm para outros servidores.

    6. Percorre todos os endereços IP dos hosts procurando endereços que não possuam qualquer das sequências abaixo:
      • 127.0.0.1
      • 10.x.x.x
      • 172.16.x.x - 172.31.x.x (inclusive)
      • 192.168.x.x
      • 169.254.x.x

    7. Usando um destes endereços IP, o worm irá gerar um endereço IP aleatório.
      • Em 52% das vezes, o endereço IP será completamente aleatório.
      • Em 23% das vezes, os últimos três octetos são alterados para números aleatórios.
      • Em 25% das vezes, os dois últimos octetos são alterados para números aleatórios.


        Notas:
      • Um octeto é uma seção dee 8 bits de um endereço IP. Por exemplo, se A.B.C.D fosse um endereço IP, A seria o primeiro octero, B seria o segundo, C o terceiro e D o quarto octeto do endereço.
      • Como o worm pode criar endereços completamente aleatórios, qualquer intervalo de IP pode ser infectado.
      • O processo é composto por 128 sequências, as quas exigem muito tempo da CPU. Como resultado, um computador infectado pode ficar tão lento que quase não poderá ser utilizado.


    8. Conecta-se a um endereço IP gerado aleatoriamente na porta TCP 445 para determinar se o computador remoto está online.
    9. Se a conexão for feita a um computador remoto, o worm irá enviar um código para ele, o qual fará com que este abra a porta TCP 9996.

    10. Utiliza a abertura no computador remoto para reconectar ao servidor FTP do computador infectado, executado na porta TCP 5554, e obter uma cópia do worm. O nome desta cópia terá quatro ou cinco dígitos, seguindo de _up.exe. Por exemplo, 74354_up.exe.

    11. O processo Lsass.exe irá travar se o worm explorar a vulnerabilidade do LSASS do Windows. O Windows exibirá um alerta e desligará o sistema dentro de um minuto.

    Symantec Gateway Security Série 5400 e Symantec Gateway Security v1.0
    • Componente antivírus: Uma atualização para o mecanismo Symantec Gateway Security AntiVirus para proteger contra o W32.Sasser.Worm está disponível. Recomendamos que os usuários do Symantec Gateway Security 5000 Series executem o LiveUpdate.
    • Componente IDS/IPS: Em 14 de abril foi disponibilizada uma assinatura para o Symantec Gateway Security 5400 Series que detecta ataques contra a vulnerabilidade do LSASS da Microsoft.
      Foi disponibilizada uma assinatura que detecta ataques contra a vulnerabilidade do LSASS da Microsoft para o SGS v1.0. Recomendamos que os usuários do Symantec Gateway Security 5000 Series executem o LiveUpdate.
    • Componente de aplicativo de firewall de inspeção completa: Por padrão, essa tecnologia da Symantec protege contra o W32.Sasser.Worm bloqueando o acesso de invasores a porta TCP/445 e às portas backdoor dos computadores infectados (TCP/5554, TCP/9996). Recomendamos veementemente que os administradores verifiquem se suas políticas de segurança não permitem entrada de dados por estas portas.

    Symantec Enterprise Firewall 8.0
    Por padrão, essa tecnologia da Symantec protege contra o W32.Sasser.Worm bloqueando o acesso de invasores a porta TCP/445 e às portas backdoor dos computadores infectados (TCP/5554, TCP/9996). Recomendamos veementemente que os administradores verifiquem se suas políticas de segurança não permitem entrada de dados por estas portas.

    Symantec Enterprise Firewall 8.0.x, 7.0.x e Symantec VelociRaptor 1.5
    Por padrão, essa tecnologia da Symantec protege contra o W32.Sasser.Worm bloqueando o acesso de invasores a porta TCP/445 e às portas backdoor dos computadores infectados (TCP/5554, TCP/9996). Recomendamos veementemente que os administradores verifiquem se suas políticas de segurança não permitem entrada de dados por estas portas.

    Symantec Clientless VPN Gateway 4400 Series
    O Symantec Clientless VPN Gateway v5.0 não é afetado por esta ameaça. Por padrão, o gateway de segurança bloqueia o acesso às portas TCP 445, 5554 e 9996.

    Symantec™ Gateway Security 300 Series
    Por padtrão, a tecnologia de firewall de inspeção evita que um invasor acesso a porta TCP/445 dos sistemas internos e portas backdoor dos sistemas infectados (TCP 5554, 9996). Recomendamos veementemente aos administradores que verifiquem se suas políticas de segurança não permitem entrada de dados através das portas TCP/445, TCP/5554, TCP/9996 e que utilizem o recurso AVpe do SGS 300 series para terem certeza de que os clientes do AV possuem as definições de vírus mais recentes.

    Symantec Firewall/VPN 100/200 Series
    Por padtrão, a tecnologia de firewall de inspeção evita que um invasor acesso a porta TCP/445 dos sistemas internos e portas backdoor dos sistemas infectados (TCP 5554, 9996).

    Recomendações

    O Symantec Security Response incentiva todos os usuários e administradores a adotarem as "melhores práticas" de segurança básica a seguir:

    • Desativar e remover os serviços desnecessários. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que não são essenciais, como um servidor de FTP, telnet e um servidor da Web. Esses serviços são verdadeiras vias de ataque. Se eles forem removidos, as ameaças combinadas terão menos vias de ataque e você terá menos serviços para atualizar através de patches.
    • Se uma ameaça combinada explorar um ou mais serviços de rede, desative ou bloqueie o acesso a esses serviços até que um patch seja aplicado.
    • Mantenha sempre seus níveis de patch atualizados, especialmente em computadores que hospedam serviços públicos e que podem ser acessados através do firewall, como serviços de HTTP, FTP, correio e DNS (por exemplo, todos os computadores baseados em Windows devem ter o Service Pack atual instalado).. Além disso, aplique todas as atualizações de segurança mencionadas neste relatório, em boletins de segurança confiáveis ou em websites de fornecedores.
    • Adote uma política de senha. As senhas complexas dificultam a quebra dos arquivos de senha em computadores comprometidos. Isso contribui para evitar ou limitar os danos quando um computador está comprometido.
    • Configure o servidor de e-mail para bloquear ou remover e-mails que contenham anexos de arquivos geralmente usados para espalhar vírus, como .vbs, .bat, .exe, .pif e .scr.
    • Isole os computadores infectados rapidamente para impedir que sua empresa fique ainda mais comprometida. Faça uma análise posterior e restaure os computadores usando meios confiáveis.
    • Treine os funcionários para não abrir anexos, a menos que os estejam esperando. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode causar infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.

    Elaborado por: Takayoshi Nakayama
    Oferta Especial
    ©1995 - 2009 Symantec Corporation
    Mapa do site|
    Avisos legais|
    Política de privacidade|
    Contato|
    Sites globais|
    Contratos de licença