Totana.com -

Microsoft alerta sobre el gusano Sasser y su nueva variante Sasser.B por Bot 03/05/2004

Apenas unas horas después de la aparición del gusano de red Sasser, se
ha detectado una nueva variante muy similar, denominada Sasser.B.
Microsoft ha distribuido un comunicado especial alertando sobre el
peligro y facilitando una herramienta on-line de detección y
desinfección.

Como ya adelantamos en la entrega de ayer, "01/05/2004 - Gusano Sasser
infecta automáticamente sistemas Windows 2000 y XP vulnerables"
(http://www.hispasec.com/unaaldia/2016), Sasser se aprovecha de un
desbordamiento de buffer en el servicio LSASS de Windows,
vulnerabilidad corregida en el macroparche MS04-011 que Microsoft
distribuyó en abril.

Potenciales víctimas de este gusano son aquellos sistemas que no hayan
aplicado el parche MS04-011 y que posean alguna de las siguientes
versiones de Windows:

- Windows XP
- Windows XP Service Pack 1
- Windows 2000 Service Pack 2
- Windows 2000 Service Pack 3
- Windows 2000 Service Pack 4

Pese a que en un primer momento Sasser.A y Sasser.B están afectando a
los sistemas vulnerables conectados directamente a Internet, si el
gusano alcanza redes locales e intranets puede causar daños mayores.

En estos entornos cerrados, con direcciones privadas y a priori
protegidos por firewalls perimetrales de las conexiones de Internet,
se suele relajar la seguridad de los equipos, descuidando la
actualización puntual de los sistemas, y permitiendo el acceso
indiscriminado a los puertos TCP donde el gusano actúa. En una red
corporativa Sasser puede causar el colapso de los sistemas y las
comunicaciones.

Especial cuidado deberá aplicarse con la conexión de ordenadores a
la red corporativa, como por ejemplo portátiles, que pudieran haberse
infectado con anterioridad.

De nuevo, desde Hispasec recordamos la necesidad de que todos los
usuarios y administradores de sistemas, que aun no lo hayan hecho,
actualicen sus sistemas con este parche, bien a través del servicio
automático WindowsUpdate (http://windowsupdate.microsoft.com), bien
descargándolo de forma directa en la página web del boletín
( http://www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.asp ).

Otras medidas preventivas, que recomiendan las buenas prácticas de
seguridad, pasan por filtrar los puertos TCP afectados e impedir
conexiones indiscriminadas. Para ello se puede recurrir a las propias
funcionalidades que proporciona Windows 2000 y XP en las propiedades
del protocolo TCP/IP, Opciones Avanzadas, pestaña Opciones,
propiedades Filtrado TCP/IP. Otra opción preventiva recomendada pasa
por instalar y activar un firewall personal.

Microsoft ha proporcionado una utilidad on-line para detectar y
eliminar al gusano Sasser.A y Sasser.B de los sistemas infectados
desde una página web, disponible en la dirección:
http://www.microsoft.com/security/incident/sasser.asp

También puede descargarse el ejecutable para su uso posterior en
cualquier sistema:
http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en

Las principales casas antivirus también proporcionan utilidades
similares, que pueden encontrar en sus respectivas páginas web,
además de las pertinentes actualizaciones para sus motores
antivirus.

Desinfección manual de Sasser.A y Sasser.B

Como primera medida es necesario instalar el parche MS04-011 de
Microsoft para evitar que el equipo se vuelva a infectar. En su defecto
impedir el acceso indiscriminado a los puertos TCP afectados, bien
filtrándolos directamente en la configuración de TCP/IP o activando
un firewall personal.

A continuación debemos eliminar al gusano de la memoria, a través
del administrador de tareas finalizaremos los procesos avserver.exe
(en el caso de Sasser.A), avserver2.exe (para Sasser.B), y cualquier
otro que responda al patrón *_up.exe, donde el asterisco comodín
equivale a varios dígitos al azar.

Después es preciso eliminar esos mismos nombres de archivos que se
encontraran en nuestro sistema. Avserver.exe o avserver2.exe en la
carpeta de Windows, y *_up.exe en la carpeta system32 de Windows.

Por último se reiniciará el equipo después de eliminar la siguiente
entrada en el registro de Windows, que se ocupaba de lanzar al
gusano en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe" = C:\WINDOWS\avserve.exe
(avserve2.exe en el caso de Sasser.B)

Como ocurrió en el caso de Blaster, algunos usuarios se encontrarán
con problemas para instalar primero el parche MS04-011 desde Internet,
ya que aunque hagan el resto de pasos para desinfectar manualmente el
gusano, éste volverá a infectarles mientras realizan la descarga del
parche, provocando el reinicio del sistema e impidiendo la
actualización.

En estos casos se procederá en primer lugar a filtrar los puertos TCP
o a activar un firewall personal, lo que evita una nueva infección
del gusano. A continuación se realizarán los pasos comentados para
eliminarlo de la memoria, el disco duro y el registro, por último
se procederá a la actualización con el parche MS04-011 y reinicio del
equipo.

Descripción de Sasser.A y Sasser.B

A continuación reproducimos la descripción realizada del Sasser.A en
la anterior entrega de una-al-dia, ya que el funcionamiento de
Sasser.B es prácticamente idéntico, con las siguientes excepciones:

* durante el barrido de IPs lanza 128 procesos en vez de 128 hilos
* log que crea en la unidad C: es win2.log en vez de win.log
* el gusano se renombra como avserve2.exe en vez de avserve.exe

Así funciona Sasser.A

Los ordenadores infectados por Sasser abren un servicio FTP en el
puerto TCP/5554 para permitir la descarga del ejecutable del gusano.
Para infectar a otros sistemas, el gusano realiza un barrido de
direcciones IP semialeatorio, intentando conectar con el puerto
TCP/445 de cada una de ellas (puerto por defecto donde se encuentra
el servicio LSSAS vulnerable).

El 25% de las direcciones IPs a las que se dirige pertenecen a la
misma clase A que la dirección IP del ordenador infectado, otro 25%
corresponderá a la misma clase B, mientras que el 50% restante
son calculadas completamente al azar.

Cada vez que consigue contactar con el puerto TCP/445 en alguna de
las IPs, envía código para explotar la vulnerabilidad LSASS, de forma
que si el sistema es vulnerable logra abrir un shell en el puerto
TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del
ordenador infectado desde el que realizó el barrido, para descargar
por FTP el ejecutable del gusano. El nombre del archivo descargado
será [numero]_up.exe, donde [numero] equivale a una serie de dígitos
al azar, por ejemplo 23983_up.exe.

En el nuevo sistema el gusano se copia en la carpeta de Windows como
avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave
en el registro de Windows para asegurarse su ejecución en cada inicio
de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe"="%Windir%\avserve.exe"

El nuevo sistema infectado actuará entonces como otro punto de
distribución, iniciando un nuevo barrido de IPs en busca de otros
sistemas vulnerables a los que infectar.

Síntomas

Además de detectar la entrada en el registro, el archivo avserve.exe
en la carpeta de Windows, el proceso avserve.exe en memoria, o el
archivo win.log en el raíz de la unidad C:, otro síntoma que nos puede
indicar que un sistema se encuentra infectado es una ralentización
general, que será provocada por el consumo de CPU que provocan los 128
hilos de ejecución que el gusano lanza para realizar los barridos de
IPs.

Otras evidencias visibles a primera vista son las ventanas de Windows
alertando de problemas en LSA Shell o de errores en lsass.exe y el
reinicio del sistema, provocados por la explotación del desbordamiento
de buffer del servicio LSASS.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2015/comentar

Más información:

01/05/2004 - Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables
http://www.hispasec.com/unaaldia/2016

Bernardo Quintero
bernardo@hispasec.com
----------------------------------------------------------------
(c) 2004 Hispasec http://www.hispasec.com/copyright
-----------------------------------------------------------------

Respuestas:

» Microsoft alerta sobre el gusano Sasser y su nueva variante Sasser.B « - por Bot, 03/05/2004 10:05

Descarga la Utilidad de Reparación Panda QuickRemover PQREMOVE - por Bot, 05/05/2004

El virus 'Sasser' paraliza la actividad de juzgados y tribunales de Cantabria - por Bot, 05/05/2004

Volver

Nick
Password
Titulo
Mensaje	>Apenas unas horas después de la aparición del gusano de red Sasser, se >ha detectado una nueva variante muy similar, denominada Sasser.B. >Microsoft ha distribuido un comunicado especial alertando sobre el >peligro y facilitando una herramienta on-line de detección y >desinfección. > >Como ya adelantamos en la entrega de ayer, "01/05/2004 - Gusano Sasser >infecta automáticamente sistemas Windows 2000 y XP vulnerables" >(http://www.hispasec.com/unaaldia/2016), Sasser se aprovecha de un >desbordamiento de buffer en el servicio LSASS de Windows, >vulnerabilidad corregida en el macroparche MS04-011 que Microsoft >distribuyó en abril. > >Potenciales víctimas de este gusano son aquellos sistemas que no hayan >aplicado el parche MS04-011 y que posean alguna de las siguientes >versiones de Windows: > > - Windows XP > - Windows XP Service Pack 1 > - Windows 2000 Service Pack 2 > - Windows 2000 Service Pack 3 > - Windows 2000 Service Pack 4 > >Pese a que en un primer momento Sasser.A y Sasser.B están afectando a >los sistemas vulnerables conectados directamente a Internet, si el >gusano alcanza redes locales e intranets puede causar daños mayores. > >En estos entornos cerrados, con direcciones privadas y a priori >protegidos por firewalls perimetrales de las conexiones de Internet, >se suele relajar la seguridad de los equipos, descuidando la >actualización puntual de los sistemas, y permitiendo el acceso >indiscriminado a los puertos TCP donde el gusano actúa. En una red >corporativa Sasser puede causar el colapso de los sistemas y las >comunicaciones. > >Especial cuidado deberá aplicarse con la conexión de ordenadores a >la red corporativa, como por ejemplo portátiles, que pudieran haberse >infectado con anterioridad. > >De nuevo, desde Hispasec recordamos la necesidad de que todos los >usuarios y administradores de sistemas, que aun no lo hayan hecho, >actualicen sus sistemas con este parche, bien a través del servicio >automático WindowsUpdate (http://windowsupdate.microsoft.com), bien >descargándolo de forma directa en la página web del boletín >( http://www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.asp ). > >Otras medidas preventivas, que recomiendan las buenas prácticas de >seguridad, pasan por filtrar los puertos TCP afectados e impedir >conexiones indiscriminadas. Para ello se puede recurrir a las propias >funcionalidades que proporciona Windows 2000 y XP en las propiedades >del protocolo TCP/IP, Opciones Avanzadas, pestaña Opciones, >propiedades Filtrado TCP/IP. Otra opción preventiva recomendada pasa >por instalar y activar un firewall personal. > >Microsoft ha proporcionado una utilidad on-line para detectar y >eliminar al gusano Sasser.A y Sasser.B de los sistemas infectados >desde una página web, disponible en la dirección: >http://www.microsoft.com/security/incident/sasser.asp > >También puede descargarse el ejecutable para su uso posterior en >cualquier sistema: >http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en > >Las principales casas antivirus también proporcionan utilidades >similares, que pueden encontrar en sus respectivas páginas web, >además de las pertinentes actualizaciones para sus motores >antivirus. > > >Desinfección manual de Sasser.A y Sasser.B > >Como primera medida es necesario instalar el parche MS04-011 de >Microsoft para evitar que el equipo se vuelva a infectar. En su defecto >impedir el acceso indiscriminado a los puertos TCP afectados, bien >filtrándolos directamente en la configuración de TCP/IP o activando >un firewall personal. > >A continuación debemos eliminar al gusano de la memoria, a través >del administrador de tareas finalizaremos los procesos avserver.exe >(en el caso de Sasser.A), avserver2.exe (para Sasser.B), y cualquier >otro que responda al patrón _up.exe, donde el asterisco comodín >equivale a varios dígitos al azar. > >Después es preciso eliminar esos mismos nombres de archivos que se >encontraran en nuestro sistema. Avserver.exe o avserver2.exe en la >carpeta de Windows, y _up.exe en la carpeta system32 de Windows. > >Por último se reiniciará el equipo después de eliminar la siguiente >entrada en el registro de Windows, que se ocupaba de lanzar al >gusano en cada inicio de sistema: > >HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >"avserve.exe" = C:\WINDOWS\avserve.exe >(avserve2.exe en el caso de Sasser.B) > >Como ocurrió en el caso de Blaster, algunos usuarios se encontrarán >con problemas para instalar primero el parche MS04-011 desde Internet, >ya que aunque hagan el resto de pasos para desinfectar manualmente el >gusano, éste volverá a infectarles mientras realizan la descarga del >parche, provocando el reinicio del sistema e impidiendo la >actualización. > >En estos casos se procederá en primer lugar a filtrar los puertos TCP >o a activar un firewall personal, lo que evita una nueva infección >del gusano. A continuación se realizarán los pasos comentados para >eliminarlo de la memoria, el disco duro y el registro, por último >se procederá a la actualización con el parche MS04-011 y reinicio del >equipo. > > >Descripción de Sasser.A y Sasser.B > >A continuación reproducimos la descripción realizada del Sasser.A en >la anterior entrega de una-al-dia, ya que el funcionamiento de >Sasser.B es prácticamente idéntico, con las siguientes excepciones: > >* durante el barrido de IPs lanza 128 procesos en vez de 128 hilos >* log que crea en la unidad C: es win2.log en vez de win.log >* el gusano se renombra como avserve2.exe en vez de avserve.exe > > >Así funciona Sasser.A > >Los ordenadores infectados por Sasser abren un servicio FTP en el >puerto TCP/5554 para permitir la descarga del ejecutable del gusano. >Para infectar a otros sistemas, el gusano realiza un barrido de >direcciones IP semialeatorio, intentando conectar con el puerto >TCP/445 de cada una de ellas (puerto por defecto donde se encuentra >el servicio LSSAS vulnerable). > >El 25% de las direcciones IPs a las que se dirige pertenecen a la >misma clase A que la dirección IP del ordenador infectado, otro 25% >corresponderá a la misma clase B, mientras que el 50% restante >son calculadas completamente al azar. > >Cada vez que consigue contactar con el puerto TCP/445 en alguna de >las IPs, envía código para explotar la vulnerabilidad LSASS, de forma >que si el sistema es vulnerable logra abrir un shell en el puerto >TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del >ordenador infectado desde el que realizó el barrido, para descargar >por FTP el ejecutable del gusano. El nombre del archivo descargado >será [numero]_up.exe, donde [numero] equivale a una serie de dígitos >al azar, por ejemplo 23983_up.exe. > >En el nuevo sistema el gusano se copia en la carpeta de Windows como >avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave >en el registro de Windows para asegurarse su ejecución en cada inicio >de sistema: > >HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >"avserve.exe"="%Windir%\avserve.exe" > >El nuevo sistema infectado actuará entonces como otro punto de >distribución, iniciando un nuevo barrido de IPs en busca de otros >sistemas vulnerables a los que infectar. > > >Síntomas > >Además de detectar la entrada en el registro, el archivo avserve.exe >en la carpeta de Windows, el proceso avserve.exe en memoria, o el >archivo win.log en el raíz de la unidad C:, otro síntoma que nos puede >indicar que un sistema se encuentra infectado es una ralentización >general, que será provocada por el consumo de CPU que provocan los 128 >hilos de ejecución que el gusano lanza para realizar los barridos de >IPs. > >Otras evidencias visibles a primera vista son las ventanas de Windows >alertando de problemas en LSA Shell o de errores en lsass.exe y el >reinicio del sistema, provocados por la explotación del desbordamiento >de buffer del servicio LSASS. > >Opina sobre esta noticia: >http://www.hispasec.com/unaaldia/2015/comentar > >Más información: > >01/05/2004 - Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables >http://www.hispasec.com/unaaldia/2016 > > >Bernardo Quintero >bernardo@hispasec.com >---------------------------------------------------------------- > (c) 2004 Hispasec http://www.hispasec.com/copyright >----------------------------------------------------------------- - Escribe cosas relacionadas con el foro. - La publicidad de cualquier tipo está prohibida. - Respeta el foro, a su moderador y a la gente que participe en él. - El moderador tiene el control del foro, así que puede eliminar mensajes descalificativos, publicitarios o improcedentes, según condiciones de aviso legal y aviso especifico del foro. - Totana.com NO se hace responsable de la opiniones vertidas en el foro. - Totana.com no se responsabiliza de la veracidad de la información introducida por los usuarios ni garantiza el cumplimiento de las normas de uso por parte de los usuarios. Si un usuario detecta un uso indebido del foro puede comunicarlo a Totana.com a traves del formulario contactar. - Para participar en el foro debes registrarte primero. Puedes solicitar gratuitamente tu acceso aquí. He leido y acepto las normas de uso
Codigo	Introduzca el código siguiente: 24112024

Normas de uso

GUIA DE EMPRESAS
Abogados - Academias - Academias de baile - Academias de danza - Academias de idiomas - Academias de música - Accesorios de baño - Acristalamiento de obras - Administración de fincas - Aeródromos - Agencia de marketing - Agencias de transporte - Agencias de viajes - Agentes de seguros - Agentes inmobiliarios - Agricultura - Aire acondicionado - Aislantes - Albañilería - Alfarerías - Alfareros - Alimentación - Alimentos ecológicos - Almacenaje y taller de mantenimiento de herramientas y vehículos - Almacenaje y venta de productos de fontanería - Almacenamiento de productos de distribución - Alquiler de vehículos - Aluminio - Animales de compañía - Animales y plantas - Armarios - Arquitectos - Artes gráficas - Artesanía - Artículos de bebé - Artículos de fiesta - Artículos de regalo - Artículos religiosos - Asadores de pollos - Asesores de imagen - Asesorías - Asociaciones - Autobuses - Autocares - Automatismos - Automóviles - Azulejo rústico - Azulejos - Azulejos artesanos - Bares - Bares y discotecas - Bazares - Bicicletas - Bocaterías - Bodegas - Bollerías - Bolsos - Bordados - Boutiques - Bricolaje - Cafeterías - Calefacción - Calzados - Camisetas - Carpintería de madera - Carpintería de pvc - Carpinterías - Carpinterías metálicas - Casas rurales - Cerámicas - Cervecerías - Césped artificial - Chapa y pintura - Chimeneas - Churrerías - Climatización - Clínicas veterinarias - Coches - Cocinas - Colchones - Comidas para llevar - Complementos - Concesionarios - Confiterías - Construcción - Construcción de embalses - Construcciones - Constructoras - Consultores - Consumibles - Copisterías - Cortinas - Cosmética - Criaderos - Cristalerías - Cuadros - Cubiertas de piscinas - Decoración - Dentistas - Deportes - Dietistas - Diseñadores - Diseño grafico - Diseño web - Distribución de agua embotellada - Distribuidora de alimentación - Distribuidora de bebidas alcoholicas - Domótica - Droguerías - Educación - Electricidad - Electricistas - Electrodomésticos - Embutidos - Encofrados - Energía solar - Equipamiento deportivo - Escayolas - Escuela de danza - Espuma de polietileno - Espuma de poliuretano - Estaciones de servicio - Estancos - Estética - Estructuras - Estructuras de hormigón - Fabricación de útiles metálicos - Fachadas - Ferreterías - Fertilizantes - Financieras - Fincas - Fisioterapeutas - Fisioterapia - Fitness - Fitosanitarios - Flores - Floristerías - Fontanería - Fontaneros - Fruterías - Funerarias - Gafas - Gasolineras - Gestores inmobiliarios - Gimnasios - Gráficas - Grúas - Hamburgueserías - Heladerías - Helados - Hierros - Hoteles - Huevos - Iluminación - Imprentas - Impresión - Informática - Informes psicotécnicos - Ingenieros - Inmobiliaria - Inmobiliarias - Inmobiliarias costa calida - Inmobiliarias y promotoras - Instalaciones eléctricas - Instrumentos musicales - Intercambiadores de calor - Interiorismo - Jardinería - Joyas - Joyerías - Juegos didácticos - Juegos educativos - Juegos infantiles - Juguetes - Juguetes ciencia - Juguetes educativos - Lencería - Librerías - Libros - Limpieza - Madera - Mamparas divisorias de oficina - Mantenimiento - Manufactura agrícola - Maquinaria industrial - Maquinarias - Mariachis - Marketing - Mármoles - Masajistas - Material de oficina - Materiales de construcción - Mercerías - Metálicas - Mobiliario - Mobiliario de oficina - Moda - Módulos solares - Montaje de tuberías - Motocicletas - Motor - Motos - Móviles - Muebles - Música - Neumáticos - Nuevas tecnologías - Ocio - Ópticas - Organizadores de eventos - Ortopedias - Osteopatía - Panaderías - Paneles solares - Papelerías - Parcelas rústicas - Pastelerías - Pavimentos - Pavimentos infantiles - Pegatinas ángulos muertos - Peluquerías - Peluqueros - Perfumerías - Periódico - Perros - Personal shopper - Pintura - Piscinas - Pizzerías - Placas con publicidad - Portamatrículas - Prefabricados de hormigón - Productos agrícolas - Promociones - Promotoras - Promotoras - Promotores - Propiedades - Propiedades costa cálida - Psicólogos - Publicidad - Puertas - Puertas automáticas - Radiocontrol - Radios - Recambios - Reformas - Regalos - Rehabilitación - Rehabilitación de fachadas - Relojerías - Relojes - Repuestos - Restaurantes - Riegos - Ropa - Ropa de hogar - Ropa de pádel - Ropa deportiva - Rotulistas - Salón de belleza - Salones de celebraciones - Salud - Saneamientos - Seguros - Semillas - Semilleros - Serigrafía - Servicios - Sonido - Suministros industriales - Supermercados - Tallas grandes - Talleres mecánicos - Talleres y concesionarios - Tarimas flotantes - Tattoos & piercing - Taxis - Tejidos - Telefonía - Telefonía móvil - Terrenos rurales - Tiendas de deportes - Toldos - Traductores - Trajes - Trajes de novia - Transportes - Turismo rural - Vehículos de importación - Vehículos de ocasión - Ventanas - Vestidos - Veterinarios - Viviendas - Viviendas vpo - Wedding planner - Zapaterías - Houses · Casas - Casas en Totana -