Descoberta: May 01, 2004
Atualizado: February 13, 2007 12:23:18 PM
Também conhecido como: WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Tipo: Worm
Extensão da infecção: 15872 bytes
Sistemas afetados: Windows
Referências CVE: CAN-2003-0533



A versão mais recente deste documento pode ser encontrada em:
http://www.symantec.com/region/br/techsupp/avcenter/venc/data/br-w32.sasser.worm.html


O W32.Sasser.B.Worm é uma variante do W32.Sasser.Worm. Ela tenta explorar a vulnerabilidade LSASS descrita no Microsoft Security Bulletin MS04-011 , e se propaga verificando endereços IP selecionados aleatoriamente de sistemas vulneráveis.


O W32.Sasser.B.Worm difere do W32.Sasser.Worm no seguinte:
  • Utiliza um mutex diferente: Jobaka3.
  • Utiliza um nome de arquivo diferente: avserve2.exe.
  • Possui um MD5 diferente.
  • Cria um valor diferente no registro: "avserve2.exe."



Notas:
  • O valor de hash MD5 para este worm é 0x1A2C0E6130850F8FD9B9B5309413CD00.
  • O Symantec Security Response desenvolveu uma ferramenta para remover infecções do W32.Sasser.
  • Bloqueie as portas TCP 5554, 9996 e 445 no firewall de perímetro e instale a correção apropriada da Microsoft (MS04-011) para evitar a exploração remota da vulnerabilidade.



O W32.Sasser.B.Worm pode ser executado, mas não pode infectar, computadores baseados no Windows 95/98/Me. Embora estes sistemas operacionais não sejam infectados, eles podem ser usados para infectar sistemas vulneráveis aos quais eles possuem conexão. Neste caso, o worm irá consumir muitos recursos de forma que programas não poderão ser executados corretamente, incluindo a ferramenta de remoção do vírus.

Datas da proteção antivírus

  • Versão inicial do Rapid Release May 01, 2004
  • Última versão do Rapid Release August 08, 2016 revisão 023
  • Versão inicial diária certificada May 01, 2004
  • Última versão diária certificada August 09, 2016 revisão 001
  • Data da versão inicial semanal certificada May 01, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Escrito por: Heather Shannon

Descoberta: May 01, 2004
Atualizado: February 13, 2007 12:23:18 PM
Também conhecido como: WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Tipo: Worm
Extensão da infecção: 15872 bytes
Sistemas afetados: Windows
Referências CVE: CAN-2003-0533


Quando o W32.Sasser.B.Worm é executado, ele faz o seguinte:

    1. Tenta criar um mutex de nome JumpallsNlsTillt e é finalizado se a tentativa falhar. and exits if the attempt fails. Isso assegura que não mais de uma instância do worm pode ser executada em um computador ao mesmo tempo.
    2. Tenta criar um mutex chamado Jobaka3 e é finalizado se a tentativa falhar. Isso assegura que não mais de uma instância do worm pode ser executada em um computador ao mesmo tempo.
    3. Cria uma cópia de si mesmo como %Windir%\Avserve2.exe.


      Nota: %Windir% é uma variável. O worm localiza a pasta de instalação do Windows (por padrão C:\Windows ou C:\Winnt) e cria uma cópia de si mesmo para esse local.

    4. Adiciona o valor:

      "avserve2.exe"="%Windir%\avserve2.exe"

      à chave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      para que o worm seja executado sempre que o Windows for iniciado.

    5. Utiliza a API AbortSystemShutdown para atrapalhar as tentativas de desligar ou reiniciar o computador.

    6. Inicia um servidor FTP na porta TCP 5554. Este servidor é usado para disseminar o worm para outros servidores.

    7. Percorre todos os endereços IP dos hosts procurando endereços que não possuam qualquer das sequências abaixo:
      • 127.0.0.1
      • 10.x.x.x
      • 172.16.x.x - 172.31.x.x (inclusive)
      • 192.168.x.x
      • 169.254.x.x

    8. Usando um destes endereços IP, o worm irá gerar um endereço IP aleatório.
      • Em 52% das vezes, o endereço IP será completamente aleatório.
      • Em 23% das vezes, os últimos três octetos são alterados para números aleatórios.
      • Em 25% das vezes, os dois últimos octetos são alterados para números aleatórios.



        Notas:
      • Um octeto é uma seção dee 8 bits de um endereço IP. Por exemplo, se A.B.C.D fosse um endereço IP, A seria o primeiro octero, B seria o segundo, C o terceiro e D o quarto octeto do endereço.
      • Como o worm pode criar endereços completamente aleatórios, qualquer intervalo de IP pode ser infectado.
      • O processo é composto por 128 sequências, as quas exigem muito tempo da CPU. Como resultado, um computador infectado pode ficar tão lento que quase não poderá ser utilizado.


    9. Connecta-se a um endereço IP gerado aleatoriamente na porta TCP 445 para determinar se o computador remoto está online.

    10. Se a conexão for feita a um computador remoto, o worm irá enviar um código para ele, o qual fará com que este abra a porta TCP 9996.

    11. Utiliza a abertura no computador remoto para reconectar ao servidor FTP do computador infectado, executado na porta TCP 5554, e obter uma cópia do worm. O nome desta cópia terá quatro ou cinco dígitos, seguindo de _up.exe. Por exemplo, 74354_up.exe.

    12. O processo Lsass.exe irá travar se o worm explorar a vulnerabilidade do LSASS do Windows. O Windows exibirá um alerta e desligará o sistema dentro de um minuto.

    Symantec Gateway Security Série 5400 e Symantec Gateway Security v1.0
    • Componente antivírus: Uma atualização para o mecanismo Symantec Gateway Security AntiVirus para proteger contra o W32.Sasser.Worm está disponível. Aconselhamos aos usuários do Symantec Gateway Security 5xxx a executarem o LiveUpdate.

    • Componente IDS/IPS: Em 14 de abril foi disponibilizada uma assinatura para o Symantec Gateway Security 5400 Series que detecta ataques contra a vulnerabilidade do LSASS da Microsoft. Foi disponibilizada uma assinatura que detecta ataques contra a vulnerabilidade do LSASS da Microsoft para o SGS v1.0. Aconselhamos aos usuários do Symantec Gateway Security 5000 Series a executarem o LiveUpdate.

    • Componente de aplicativo de firewall de inspeção completa: Por padrão, essa tecnologia da Symantec protege contra o W32.Sasser.Worm bloqueando o acesso de invasores a porta TCP/445 e às portas backdoor dos computadores infectados (TCP/5554, TCP/9996). Recomendamos veementemente que os administradores verifiquem se suas políticas de segurança não permitem entrada de dados por estas portas.


    Symantec Enterprise Firewall 8.0
    Por padrão, essa tecnologia da Symantec protege contra o W32.Sasser.Worm bloqueando o acesso de invasores a porta TCP/445 e às portas backdoor dos computadores infectados (TCP/5554, TCP/9996). Recomendamos veementemente que os administradores verifiquem se suas políticas de segurança não permitem entrada de dados por estas portas.

    Symantec Enterprise Firewall 8.0.x, 7.0.x e Symantec VelociRaptor 1.5
    Por padrão, essa tecnologia da Symantec protege contra o W32.Sasser.Worm bloqueando o acesso de invasores a porta TCP/445 e às portas backdoor dos computadores infectados (TCP/5554, TCP/9996). Recomendamos veementemente que os administradores verifiquem se suas políticas de segurança não permitem entrada de dados por estas portas.

    Symantec Clientless VPN Gateway 4400 Series
    Esta ameaça não afeta o Symantec Client VPN.
    Por padrão, o gateway de segurança bloqueia o acesso às portas TCP 445, 5554 e 9996.

    Symantec Gateway Security 300 Series
    Por padrão, a tecnologia de firewall de inspeção evita que um invasor acesso a porta TCP/445 dos sistemas internos e portas backdoor dos sistemas infectados (TCP 5554, 9996). Recomendamos veementemente aos administradores que verifiquem se suas políticas de segurança não permitem entrada de dados através das portas TCP/445, TCP/5554, TCP/9996 e que utilizem o recurso AVpe do SGS 300 series para terem certeza de que os clientes do AV possuem as definições de vírus mais recentes.

    Symantec Firewall/VPN 100/200 Series
    Por padtrão, a tecnologia de firewall de inspeção evita que um invasor acesso a porta TCP/445 dos sistemas internos e portas backdoor dos sistemas infectados (TCP 5554, 9996).

    Symantec Host IDS 4.1/4.1.1
    A prevenção para este worm e todas as suas variantes conhecidas estão disponíveis através do LiveUpdate.

    Intruder Alert 3,6
    A detecção deste worm está disponível: Symantec released Intruder Alert 3.6 W32_Sasser_Worm.pol .

    Symantec ManHunt
    Em 13 de abril de 2004 foi lançado o Security Update 22 para detectar as tentantivas de exploração da vulnerabilidade LSASS através da assinatura "Microsoft RPC LSASS DS Request".

    Recomendações

    Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

    • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
    • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
    • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
    • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
    • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
    • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
    • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
    • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
    • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
    • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
    • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
    • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
    • For further information on the terms used in this document, please refer to the Security Response glossary.

    Escrito por: Heather Shannon

    Descoberta: May 01, 2004
    Atualizado: February 13, 2007 12:23:18 PM
    Também conhecido como: WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
    Tipo: Worm
    Extensão da infecção: 15872 bytes
    Sistemas afetados: Windows
    Referências CVE: CAN-2003-0533


    Remoção usando a Ferramenta de Remoção do W32.Sasser
    O Symantec Security Response criou uma ferramenta para remover o W32.Sasser. Esta é a maneira mais fácil de se remover esta ameaça.

    Remoção manual
    Como alternativa ao uso da ferramenta, você pode remover esta ameaça manualmente.

    Estas instruções se aplicam a todos os produtos antivírus atuais e aos mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus e Norton AntiVirus.

    1. Finalize o processo malicioso.
    2. Desative a Restauração do sistema (Windows Me/XP).
    3. Atualize as definições de vírus.
    4. Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como W32.Sasser.B.Worm.
    5. Reverta as alterações feitas pelo worm no registro.
    Para maiores detalhes sobre como fazer isto, consulte as seguintes instruções.

    1. Para localizar e interromper um processo
    1. Pressione as teclas Ctrl+Alt+Delete uma vez.
    2. Clique em Gerenciador de Tarefas.
    3. Clique na guia Processos.
    4. Clique duas vezes sobre a coluna Nome da Imagem para ordenar os processos por ordem alfabética.
    5. Role a lista e procure pelos serviços:
        • avserve2.exe
        • qualquer processo cujo nome possui 4 ou 5 dígitos seguido de _up.exe (por exemplo: 74354_up.exe).
    6. Se você encontrar o arquivo, clique uma vez sobre ele para selecioná-lo e clique no botão Finalizar Processo.
    7. Saia do Gerenciador de Tarefas.

    2. Desativando a Restauração do sistema (Windows Me/XP)
    Usuários do Windows Me e do Windows XP devem desativar, temporariamente, o recurso de Restauração do sistema. Este recurso, ativado por padrão, é usado pelo Windows ME/XP para restaurar os arquivos do sistema em seu computador, caso estes tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de tróia é possível que arquivos infectados sejam recuperados pela Restauração do sistema.

    Por padrão, o Windows previne que a Restauração do sistema seja alterada por programas externos, inclusive programas antivírus. Assim, é possível que você, acidentalmente, recupere um arquivo infectado ou que verificadores on-line detectem uma ameaça naquele lugar. Para instruções sobre como desativar a Restauração do sistema, consulte a documentação do Windows ou um dos seguintes artigos:

    Nota: Após ter removido completamente a ameaça, você deve ativar novamente a Restauração do sistema seguindo as instruções dos documentos mencionados acima.


    Para informações adicionais e como alternativa a desativar a Restauração do sistema, consulte o artigo Q263455, em inglês, da base de dados da Microsoft (Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder ).

    3. Atualizando as definições de vírus

    O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:

    • Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa propagação de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste documento.
    • Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.

    Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui.


    4. Executando uma verificação completa no sistema
    1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
    2. Execute uma verificação completa do sistema.
    3. Se houver arquivos detectados como infectados com W32.Sasser.B.Worm, clique em Excluir.

    5. Para remover o valor do registro


    AVISO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
    1. Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
    2. Digite regedit

      e clique em OK. (O Editor do Registro será aberto).

    3. Navegue até a chave:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    4. No painel direito, exclua o valor:

      "avserve2.exe"="%Windir%\avserve2.exe"

    5. Saia do Editor do Registro.


    Escrito por: Heather Shannon