Totana.com -

Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables por Bot 05/05/2004

Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables

Sasser es un nuevo gusano de red que aprovecha un desbordamiento de
buffer en el servicio LSASS de Windows para infectar a otros sistemas
de forma automática. A diferencia de los gusanos convencionales que se
propagan por correo electrónico, y que esperan que un usuario ejecute
el archivo adjunto infectado, Sasser es capaz de infectar los sistemas
vulnerables automáticamente, al estilo del conocido Blaster, y deja
una puerta trasera que permite la intrusión a terceros.

Sasser puede infectar sistemas Windows 2000 y Windows XP que no hayan
aplicado el macroparche MS04-011 que Microsoft distribuyó en abril,
discutido en nuestra nota "14/04/2004 Actualización crítica para
sistemas Windows" (http://www.hispasec.com/unaaldia/1998).

Desde Hispasec recomendamos encarecidamente, a todos los usuarios y
administradores que aun no lo hayan hecho, actualicen sus sistemas
con este parche, bien a través del servicio automático WindowsUpdate
(http://windowsupdate.microsoft.com), bien descargándolo según versión
en (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx).

En estos momentos la propagación de Sasser en Internet va en aumento
exponencial, afectando a usuarios domésticos y servidores que no
cuentan con las mínimas medidas de seguridad (con el puerto TCP/445
sin filtrar).

Hispasec pronostica que se pueden dar casos aun más significativos
a partir del lunes y en días sucesivos, si Sasser logra penetrar en
redes locales e intranets. En estos entornos los sistemas Windows 2000
y XP se encuentran con medidas de seguridad más relajadas, además no
se suele prestar especial atención a su actualización, a diferencia
de los sistemas que se conectan directamente a Internet, como los
servidores.

Aunque las redes privadas estén protegidas en el perímetro, no debemos
olvidar que en ocasiones se conectan a ellas dispositivos móviles,
como ordenadores portátiles. Es bastante frecuente el caso de usuarios
que conectan sus portatiles a Internet en su hogar, se infectan por no
contar con una protección adecuada, y posteriormente conectan el
portatil a la red local del trabajo provocando la infección de los
sistemas corporativos.

Así funciona

Los ordenadores infectados por Sasser abren un servicio FTP en el
puerto TCP/5554 para permitir la descarga del ejecutable del gusano.
Para infectar a otros sistemas, el gusano realiza un barrido de
direcciones IP semialeatorio, intentando conectar con el puerto
TCP/445 de cada una de ellas (puerto por defecto donde se encuentra
el servicio LSSAS vulnerable).

El 25% de las direcciones IPs a las que se dirige pertenecen a la
misma clase A que la dirección IP del ordenador infectado, otro 25%
corresponderá a la misma clase B, mientras que el 50% restante
son calculadas completamente al azar.

Cada vez que consigue contactar con el puerto TCP/445 en alguna de
las IPs, envía código para explotar la vulnerabilidad LSASS, de forma
que si el sistema es vulnerable logra abrir un shell en el puerto
TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del
ordenador infectado desde el que realizó el barrido, para descargar
por FTP el ejecutable del gusano. El nombre del archivo descargado
será [numero]_up.exe, donde [numero] equivale a una serie de dígitos
al azar, por ejemplo 23983_up.exe.

En el nuevo sistema el gusano se copia en la carpeta de Windows como
avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave
en el registro de Windows para asegurarse su ejecución en cada inicio
de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe"="%Windir%\avserve.exe"

El nuevo sistema infectado actuará entonces como otro punto de
distribución, iniciando un nuevo barrido de IPs en busca de otros
sistemas vulnerables a los que infectar.

Síntomas

Además de detectar la entrada en el registro, el archivo avserve.exe
en la carpeta de Windows, o el proceso avserve.exe en memoria, otro
síntoma que nos puede indicar que un sistema se encuentra infectado
es una ralentización general, que será provocada por el consumo de
CPU que provocan los 128 hilos de ejecución que el gusano lanza para
realizar los barridos de IPs.

Otras evidencias visibles a primera vista son las ventanas de Windows
alertando de problemas en LSA Shell o de errores en lsass.exe y el
reinicio del sistema, provocados por la explotación del desbordamiento
de buffer del servicio LSASS.

Desinfección

Como indicamos al principio de la nota, como primera medida de
prevención para no volver a infectarnos por el gusano, debemos instalar
el parche MS04-011. A continuación podemos finalizar el proceso
avserve.exe de la memoria con el administrador de tareas, eliminar el
ejecutable avserve.exe de la carpeta de Windows, así como la entrada
del registro que hace referencia a él, comentada con anterioridad.
Adicionalmente, también puede borrarse el archivo win.log de la raíz
de la unidad C:, creado por el gusano.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2015/comentar

Más Información:

Win32.Sasser.A
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012

WIN32/SASSER.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=821&alerta=1

Sasser
http://www.f-secure.com/v-descs/sasser.shtml

W32/Sasser.worm
http://vil.nai.com/vil/content/v_125007.htm

W32/Sasser.A
http://www.norman.com/Virus/Virus_descriptions/14919/es

Sasser.A
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=46865

W32/Sasser-A
http://www.sophos.com/virusinfo/analyses/w32sassera.html

W32.Sasser.Worm
http://www.sarc.com/avcenter/venc/data/w32.sasser.worm.html

WORM_SASSER.A
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_SASSER.A

W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm

Bernardo Quintero
bernardo@hispasec.com

Respuestas:

» Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables « - por Bot, 05/05/2004 13:30

Gusano Sasser: un mal menor que evidencia la falta de seguridad - por Bot, 05/05/2004

Detenido en Alemania el creador del virus Sasser - por Anonymous, 09/05/2004

Volver

Nick
Password
Titulo
Mensaje	>Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables > > >Sasser es un nuevo gusano de red que aprovecha un desbordamiento de >buffer en el servicio LSASS de Windows para infectar a otros sistemas >de forma automática. A diferencia de los gusanos convencionales que se >propagan por correo electrónico, y que esperan que un usuario ejecute >el archivo adjunto infectado, Sasser es capaz de infectar los sistemas >vulnerables automáticamente, al estilo del conocido Blaster, y deja >una puerta trasera que permite la intrusión a terceros. > >Sasser puede infectar sistemas Windows 2000 y Windows XP que no hayan >aplicado el macroparche MS04-011 que Microsoft distribuyó en abril, >discutido en nuestra nota "14/04/2004 Actualización crítica para >sistemas Windows" (http://www.hispasec.com/unaaldia/1998). > >Desde Hispasec recomendamos encarecidamente, a todos los usuarios y >administradores que aun no lo hayan hecho, actualicen sus sistemas >con este parche, bien a través del servicio automático WindowsUpdate >(http://windowsupdate.microsoft.com), bien descargándolo según versión >en (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx). > >En estos momentos la propagación de Sasser en Internet va en aumento >exponencial, afectando a usuarios domésticos y servidores que no >cuentan con las mínimas medidas de seguridad (con el puerto TCP/445 >sin filtrar). > >Hispasec pronostica que se pueden dar casos aun más significativos >a partir del lunes y en días sucesivos, si Sasser logra penetrar en >redes locales e intranets. En estos entornos los sistemas Windows 2000 >y XP se encuentran con medidas de seguridad más relajadas, además no >se suele prestar especial atención a su actualización, a diferencia >de los sistemas que se conectan directamente a Internet, como los >servidores. > >Aunque las redes privadas estén protegidas en el perímetro, no debemos >olvidar que en ocasiones se conectan a ellas dispositivos móviles, >como ordenadores portátiles. Es bastante frecuente el caso de usuarios >que conectan sus portatiles a Internet en su hogar, se infectan por no >contar con una protección adecuada, y posteriormente conectan el >portatil a la red local del trabajo provocando la infección de los >sistemas corporativos. > > >Así funciona > >Los ordenadores infectados por Sasser abren un servicio FTP en el >puerto TCP/5554 para permitir la descarga del ejecutable del gusano. >Para infectar a otros sistemas, el gusano realiza un barrido de >direcciones IP semialeatorio, intentando conectar con el puerto >TCP/445 de cada una de ellas (puerto por defecto donde se encuentra >el servicio LSSAS vulnerable). > >El 25% de las direcciones IPs a las que se dirige pertenecen a la >misma clase A que la dirección IP del ordenador infectado, otro 25% >corresponderá a la misma clase B, mientras que el 50% restante >son calculadas completamente al azar. > >Cada vez que consigue contactar con el puerto TCP/445 en alguna de >las IPs, envía código para explotar la vulnerabilidad LSASS, de forma >que si el sistema es vulnerable logra abrir un shell en el puerto >TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del >ordenador infectado desde el que realizó el barrido, para descargar >por FTP el ejecutable del gusano. El nombre del archivo descargado >será [numero]_up.exe, donde [numero] equivale a una serie de dígitos >al azar, por ejemplo 23983_up.exe. > >En el nuevo sistema el gusano se copia en la carpeta de Windows como >avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave >en el registro de Windows para asegurarse su ejecución en cada inicio >de sistema: > >HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >"avserve.exe"="%Windir%\avserve.exe" > >El nuevo sistema infectado actuará entonces como otro punto de >distribución, iniciando un nuevo barrido de IPs en busca de otros >sistemas vulnerables a los que infectar. > > >Síntomas > >Además de detectar la entrada en el registro, el archivo avserve.exe >en la carpeta de Windows, o el proceso avserve.exe en memoria, otro >síntoma que nos puede indicar que un sistema se encuentra infectado >es una ralentización general, que será provocada por el consumo de >CPU que provocan los 128 hilos de ejecución que el gusano lanza para >realizar los barridos de IPs. > >Otras evidencias visibles a primera vista son las ventanas de Windows >alertando de problemas en LSA Shell o de errores en lsass.exe y el >reinicio del sistema, provocados por la explotación del desbordamiento >de buffer del servicio LSASS. > > >Desinfección > >Como indicamos al principio de la nota, como primera medida de >prevención para no volver a infectarnos por el gusano, debemos instalar >el parche MS04-011. A continuación podemos finalizar el proceso >avserve.exe de la memoria con el administrador de tareas, eliminar el >ejecutable avserve.exe de la carpeta de Windows, así como la entrada >del registro que hace referencia a él, comentada con anterioridad. >Adicionalmente, también puede borrarse el archivo win.log de la raíz >de la unidad C:, creado por el gusano. > > >Opina sobre esta noticia: >http://www.hispasec.com/unaaldia/2015/comentar > > >Más Información: > >Win32.Sasser.A >http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012 > >WIN32/SASSER.A >http://www.enciclopediavirus.com/virus/vervirus.php?id=821&alerta=1 > >Sasser >http://www.f-secure.com/v-descs/sasser.shtml > >W32/Sasser.worm >http://vil.nai.com/vil/content/v_125007.htm > >W32/Sasser.A >http://www.norman.com/Virus/Virus_descriptions/14919/es > >Sasser.A >http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=46865 > >W32/Sasser-A >http://www.sophos.com/virusinfo/analyses/w32sassera.html > >W32.Sasser.Worm >http://www.sarc.com/avcenter/venc/data/w32.sasser.worm.html > >WORM_SASSER.A >http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_SASSER.A > >W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS >http://www.vsantivirus.com/sasser-a.htm > > >Bernardo Quintero >bernardo@hispasec.com > > - Escribe cosas relacionadas con el foro. - La publicidad de cualquier tipo está prohibida. - Respeta el foro, a su moderador y a la gente que participe en él. - El moderador tiene el control del foro, así que puede eliminar mensajes descalificativos, publicitarios o improcedentes, según condiciones de aviso legal y aviso especifico del foro. - Totana.com NO se hace responsable de la opiniones vertidas en el foro. - Totana.com no se responsabiliza de la veracidad de la información introducida por los usuarios ni garantiza el cumplimiento de las normas de uso por parte de los usuarios. Si un usuario detecta un uso indebido del foro puede comunicarlo a Totana.com a traves del formulario contactar. - Para participar en el foro debes registrarte primero. Puedes solicitar gratuitamente tu acceso aquí. He leido y acepto las normas de uso
Codigo	Introduzca el código siguiente: 24112024

Normas de uso

GUIA DE EMPRESAS
Abogados - Academias - Academias de baile - Academias de danza - Academias de idiomas - Academias de música - Accesorios de baño - Acristalamiento de obras - Administración de fincas - Aeródromos - Agencia de marketing - Agencias de transporte - Agencias de viajes - Agentes de seguros - Agentes inmobiliarios - Agricultura - Aire acondicionado - Aislantes - Albañilería - Alfarerías - Alfareros - Alimentación - Alimentos ecológicos - Almacenaje y taller de mantenimiento de herramientas y vehículos - Almacenaje y venta de productos de fontanería - Almacenamiento de productos de distribución - Alquiler de vehículos - Aluminio - Animales de compañía - Animales y plantas - Armarios - Arquitectos - Artes gráficas - Artesanía - Artículos de bebé - Artículos de fiesta - Artículos de regalo - Artículos religiosos - Asadores de pollos - Asesores de imagen - Asesorías - Asociaciones - Autobuses - Autocares - Automatismos - Automóviles - Azulejo rústico - Azulejos - Azulejos artesanos - Bares - Bares y discotecas - Bazares - Bicicletas - Bocaterías - Bodegas - Bollerías - Bolsos - Bordados - Boutiques - Bricolaje - Cafeterías - Calefacción - Calzados - Camisetas - Carpintería de madera - Carpintería de pvc - Carpinterías - Carpinterías metálicas - Casas rurales - Cerámicas - Cervecerías - Césped artificial - Chapa y pintura - Chimeneas - Churrerías - Climatización - Clínicas veterinarias - Coches - Cocinas - Colchones - Comidas para llevar - Complementos - Concesionarios - Confiterías - Construcción - Construcción de embalses - Construcciones - Constructoras - Consultores - Consumibles - Copisterías - Cortinas - Cosmética - Criaderos - Cristalerías - Cuadros - Cubiertas de piscinas - Decoración - Dentistas - Deportes - Dietistas - Diseñadores - Diseño grafico - Diseño web - Distribución de agua embotellada - Distribuidora de alimentación - Distribuidora de bebidas alcoholicas - Domótica - Droguerías - Educación - Electricidad - Electricistas - Electrodomésticos - Embutidos - Encofrados - Energía solar - Equipamiento deportivo - Escayolas - Escuela de danza - Espuma de polietileno - Espuma de poliuretano - Estaciones de servicio - Estancos - Estética - Estructuras - Estructuras de hormigón - Fabricación de útiles metálicos - Fachadas - Ferreterías - Fertilizantes - Financieras - Fincas - Fisioterapeutas - Fisioterapia - Fitness - Fitosanitarios - Flores - Floristerías - Fontanería - Fontaneros - Fruterías - Funerarias - Gafas - Gasolineras - Gestores inmobiliarios - Gimnasios - Gráficas - Grúas - Hamburgueserías - Heladerías - Helados - Hierros - Hoteles - Huevos - Iluminación - Imprentas - Impresión - Informática - Informes psicotécnicos - Ingenieros - Inmobiliaria - Inmobiliarias - Inmobiliarias costa calida - Inmobiliarias y promotoras - Instalaciones eléctricas - Instrumentos musicales - Intercambiadores de calor - Interiorismo - Jardinería - Joyas - Joyerías - Juegos didácticos - Juegos educativos - Juegos infantiles - Juguetes - Juguetes ciencia - Juguetes educativos - Lencería - Librerías - Libros - Limpieza - Madera - Mamparas divisorias de oficina - Mantenimiento - Manufactura agrícola - Maquinaria industrial - Maquinarias - Mariachis - Marketing - Mármoles - Masajistas - Material de oficina - Materiales de construcción - Mercerías - Metálicas - Mobiliario - Mobiliario de oficina - Moda - Módulos solares - Montaje de tuberías - Motocicletas - Motor - Motos - Móviles - Muebles - Música - Neumáticos - Nuevas tecnologías - Ocio - Ópticas - Organizadores de eventos - Ortopedias - Osteopatía - Panaderías - Paneles solares - Papelerías - Parcelas rústicas - Pastelerías - Pavimentos - Pavimentos infantiles - Pegatinas ángulos muertos - Peluquerías - Peluqueros - Perfumerías - Periódico - Perros - Personal shopper - Pintura - Piscinas - Pizzerías - Placas con publicidad - Portamatrículas - Prefabricados de hormigón - Productos agrícolas - Promociones - Promotoras - Promotoras - Promotores - Propiedades - Propiedades costa cálida - Psicólogos - Publicidad - Puertas - Puertas automáticas - Radiocontrol - Radios - Recambios - Reformas - Regalos - Rehabilitación - Rehabilitación de fachadas - Relojerías - Relojes - Repuestos - Restaurantes - Riegos - Ropa - Ropa de hogar - Ropa de pádel - Ropa deportiva - Rotulistas - Salón de belleza - Salones de celebraciones - Salud - Saneamientos - Seguros - Semillas - Semilleros - Serigrafía - Servicios - Sonido - Suministros industriales - Supermercados - Tallas grandes - Talleres mecánicos - Talleres y concesionarios - Tarimas flotantes - Tattoos & piercing - Taxis - Tejidos - Telefonía - Telefonía móvil - Terrenos rurales - Tiendas de deportes - Toldos - Traductores - Trajes - Trajes de novia - Transportes - Turismo rural - Vehículos de importación - Vehículos de ocasión - Ventanas - Vestidos - Veterinarios - Viviendas - Viviendas vpo - Wedding planner - Zapaterías - Houses · Casas - Casas en Totana -