• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables

Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables

1 mayo, 2004 Por Hispasec Deja un comentario

Sasser es un nuevo gusano de red que aprovecha un desbordamiento de
buffer en el servicio LSASS de Windows para infectar a otros sistemas
de forma automática. A diferencia de los gusanos convencionales que se
propagan por correo electrónico, y que esperan que un usuario ejecute
el archivo adjunto infectado, Sasser es capaz de infectar los sistemas
vulnerables automáticamente, al estilo del conocido Blaster, y deja
una puerta trasera que permite la intrusión a terceros.

Sasser puede infectar sistemas Windows 2000 y Windows XP que no hayan
aplicado el macroparche MS04-011 que Microsoft distribuyó en abril,
discutido en nuestra nota «14/04/2004 Actualización crítica para
sistemas Windows» (http://www.hispasec.com/unaaldia/1998).

Desde Hispasec recomendamos encarecidamente, a todos los usuarios y
administradores que aun no lo hayan hecho, actualicen sus sistemas
con este parche, bien a través del servicio automático WindowsUpdate
(http://windowsupdate.microsoft.com), bien descargándolo según versión
en (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx).

En estos momentos la propagación de Sasser en Internet va en aumento
exponencial, afectando a usuarios domésticos y servidores que no
cuentan con las mínimas medidas de seguridad (con el puerto TCP/445
sin filtrar).

Hispasec pronostica que se pueden dar casos aun más significativos
a partir del lunes y en días sucesivos, si Sasser logra penetrar en
redes locales e intranets. En estos entornos los sistemas Windows 2000
y XP se encuentran con medidas de seguridad más relajadas, además no
se suele prestar especial atención a su actualización, a diferencia
de los sistemas que se conectan directamente a Internet, como los
servidores.

Aunque las redes privadas estén protegidas en el perímetro, no debemos
olvidar que en ocasiones se conectan a ellas dispositivos móviles,
como ordenadores portátiles. Es bastante frecuente el caso de usuarios
que conectan sus portatiles a Internet en su hogar, se infectan por no
contar con una protección adecuada, y posteriormente conectan el
portatil a la red local del trabajo provocando la infección de los
sistemas corporativos.

Así funciona

Los ordenadores infectados por Sasser abren un servicio FTP en el
puerto TCP/5554 para permitir la descarga del ejecutable del gusano.
Para infectar a otros sistemas, el gusano realiza un barrido de
direcciones IP semialeatorio, intentando conectar con el puerto
TCP/445 de cada una de ellas (puerto por defecto donde se encuentra
el servicio LSSAS vulnerable).

El 25% de las direcciones IPs a las que se dirige pertenecen a la
misma clase A que la dirección IP del ordenador infectado, otro 25%
corresponderá a la misma clase B, mientras que el 50% restante
son calculadas completamente al azar.

Cada vez que consigue contactar con el puerto TCP/445 en alguna de
las IPs, envía código para explotar la vulnerabilidad LSASS, de forma
que si el sistema es vulnerable logra abrir un shell en el puerto
TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del
ordenador infectado desde el que realizó el barrido, para descargar
por FTP el ejecutable del gusano. El nombre del archivo descargado
será [numero]_up.exe, donde [numero] equivale a una serie de dígitos
al azar, por ejemplo 23983_up.exe.

En el nuevo sistema el gusano se copia en la carpeta de Windows como
avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave
en el registro de Windows para asegurarse su ejecución en cada inicio
de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«avserve.exe»=»%Windir%\avserve.exe»

El nuevo sistema infectado actuará entonces como otro punto de
distribución, iniciando un nuevo barrido de IPs en busca de otros
sistemas vulnerables a los que infectar.

Síntomas

Además de detectar la entrada en el registro, el archivo avserve.exe
en la carpeta de Windows, o el proceso avserve.exe en memoria, otro
síntoma que nos puede indicar que un sistema se encuentra infectado
es una ralentización general, que será provocada por el consumo de
CPU que provocan los 128 hilos de ejecución que el gusano lanza para
realizar los barridos de IPs.

Otras evidencias visibles a primera vista son las ventanas de Windows
alertando de problemas en LSA Shell o de errores en lsass.exe y el
reinicio del sistema, provocados por la explotación del desbordamiento
de buffer del servicio LSASS.

Desinfección

Como indicamos al principio de la nota, como primera medida de
prevención para no volver a infectarnos por el gusano, debemos instalar
el parche MS04-011. A continuación podemos finalizar el proceso
avserve.exe de la memoria con el administrador de tareas, eliminar el
ejecutable avserve.exe de la carpeta de Windows, así como la entrada
del registro que hace referencia a él, comentada con anterioridad.
Adicionalmente, también puede borrarse el archivo win.log de la raíz
de la unidad C:, creado por el gusano.

Bernardo Quintero
bernardo@hispasec.com

Más información:

Win32.Sasser.A
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012

WIN32/SASSER.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=821&alerta=1

Sasser
http://www.f-secure.com/v-descs/sasser.shtml

W32/Sasser.worm
http://vil.nai.com/vil/content/v_125007.htm

W32/Sasser.A
http://www.norman.com/Virus/Virus_descriptions/14919/es

Sasser.A
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=46865

W32/Sasser-A
http://www.sophos.com/virusinfo/analyses/w32sassera.html

W32.Sasser.Worm
http://www.sarc.com/avcenter/venc/data/w32.sasser.worm.html

WORM_SASSER.A
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_SASSER.A

W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR