[color=blue]El Sasser es un gusano que infecta automáticamente sistemas Windows 2000 y XP vulnerables, aprovechando un desbordamiento de buffer en el servicio LSASS para infectar a otros sistemas de forma automática. La acción más notoria del virus en un equipo infectado es obligarlo a reiniciarse continuamente, lo que provoca grandes problemas en ambientes corporativos. Ingrese al informe y conozca todos los detalles sobre el accionar de este peligroso virus[/color]

A diferencia de los gusanos convencionales que se propagan por correo electrónico, y que esperan que un usuario ejecute el archivo adjunto infectado, Sasser es capaz de infectar los sistemas vulnerables automáticamente, al estilo del conocido Blaster, y dejar una puerta trasera que permite la intrusión a terceros.

Puede infectar sistemas Windows 2000 y Windows XP que no hayan aplicado el parche MS04-011 que Microsoft distribuyó a principios de abril.

La propagación del Sasser en Internet fue exponencial durante la semana pasada, afectando a usuarios hogareños y servidores que no cuentan con medidas de seguridad como el filtrado del puerto TCP/445.

Si logra infectar redes locales e intranets, el nivel de dispersión será aún mayor, ya que en este tipo de entornos los sistemas Windows 2000 y XP tienden a configurarse con menores medidas de seguridad y no se les suele prestar especial atención a su actualización, a diferencia de los sistemas que se conectan directamente a Internet como los servidores. En estos entornos cerrados, con direcciones privadas y a priori protegidos por firewalls perimetrales en las conexiones de Internet, se suele descuidar la actualización puntual de los sistemas y permitiendo el acceso indiscriminado a los puertos TCP donde el gusano actúa. En una red corporativa, Sasser puede causar el colapso de los sistemas y las comunicaciones. Se debe tener especial cuidado con la conexión de computadoras a la red corporativa, como por ejemplo portátiles, que pudieran haberse infectado con anterioridad. Un ejemplo de esto son las notebooks de usuarios que las conectan a Internet en su hogar, se infectan por no contar con una protección adecuada, y al acceder a la red local del trabajo provocan la infección de los sistemas corporativos.

Víctimas potenciales

Los sistemas expuestos a infección son aquellos que no hayan aplicado el parche MS04-011 y que posean alguna de las siguientes versiones de Windows:


- Windows XP
- Windows XP Service Pack 1
- Windows 2000 Service Pack 2
- Windows 2000 Service Pack 3
- Windows 2000 Service Pack 4

Funcionamiento
- Las computadoras infectadas por Sasser abren un servicio FTP en el puerto TCP/5554 para permitir la descarga del ejecutable del gusano.

- Para infectar a otros sistemas, el gusano realiza un barrido de direcciones IP semialeatorio, intentando conectar con el puerto TCP/445 de cada una de ellas, que es el puerto por defecto donde se encuentra el servicio LSSAS vulnerable.

- El 25% de las direcciones IPs a las que se dirige pertenecen a la misma clase A que la dirección IP del ordenador infectado, otro 25% corresponderá a la misma clase B, mientras que el 50% restante son determinadas al azar.

- Cada vez que consigue contactar con el puerto TCP/445 en alguna de las IPs, envía código para explotar la vulnerabilidad LSASS.

- Si el sistema contactado es vulnerable, logra abrir un shell en el puerto TCP/9996 desde el cual fuerza una conexión al puerto TCP/5554 de la computadora infectada desde la que se realizó el barrido, para descargar por FTP el ejecutable del gusano.

- El nombre del archivo descargado será [conjunto de números al azar]_up.exe

- En el nuevo sistema el gusano se copia en la carpeta de Windows como avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
"avserve.exe"="%Windir%\avserve.exe"

- El nuevo sistema infectado actuará entonces como otro punto de distribución, iniciando un nuevo barrido de IPs en busca de otros sistemas vulnerables a los que infectar.

Síntomas
Además de poderse detectar la entrada en el registro, el archivo avserve.exe en la carpeta de Windows y el proceso avserve.exe en memoria, otro síntoma que puede aparecer es una ralentización general provocada por el consumo de CPU que provocan los 128 procesos de ejecución que el gusano lanza para realizar los barridos de IPs.
Otras evidencias de la infección del sistema son las ventanas de Windows alertando de problemas en LSA Shell o de errores en lsass.exe y el reinicio del sistema, provocados por la explotación del desbordamiento de buffer del servicio LSASS.


PrevenciónP
ara no infectarse con el gusano se debe instalar el parche MS04-011.

Otras medidas preventivas que recomiendan las buenas prácticas de seguridad son las siguientes:

- Pasar por filtros los puertos TCP afectados e impedir conexiones indiscriminadas. Para ello se puede recurrir a las propias funcionalidades que proporciona Windows 2000 y XP en las propiedades del protocolo TCP/IP, Opciones Avanzadas, pestaña Opciones, propiedades Filtrado TCP/IP.
- Instalar y activar un firewall personal.


Erradicación automática
Microsoft ha proporcionado una utilidad on-line para detectar y eliminar al gusano Sasser.A y Sasser.B de los sistemas infectados desde una página web, disponible en la dirección: http://www.microsoft.com/security/incident/sasser.asp

También puede descargarse el ejecutable para su uso posterior en cualquier sistema desde: http://www.microsoft.com/downloads/...&displaylang=en

Las principales empresas antivirus también proporcionan utilidades similares, que pueden encontrar en sus respectivas páginas web, además de las pertinentes actualizaciones para sus motores antivirus.


Erradicación manual
En caso de tener una computadora infectada se debe instalar el parche y, a continuación ejecutar los siguientes pasos:

- Una dificultad con la instalación del parche desde Internet sobre un equipo infectado puede ser, como ocurrió en el caso de Blaster, que aunque se cumplan el resto de los pasos para desinfectar manualmente el gusano, éste volverá a infectar mientras realiza la descarga del parche, provocando el reinicio del sistema e impidiendo la actualización. En estos casos se deben filtrar los puertos TCP o activar un firewall personal, lo que evitará una nueva infección del gusano.

- A continuación se debe eliminar al gusano de la memoria. A través del administrador de tareas se deben finalizar los procesos avserver.exe (en el caso de Sasser.A), avserver2.exe (para Sasser.B), y cualquier otro que responda al patrón *_up.exe, donde el asterisco comodín equivale a varios dígitos al azar.

- Después es preciso eliminar todas las copias de los archivos señalados en el punto anterior que se encuentren en el sistema: Avserver.exe o avserver2.exe en la carpeta de Windows, y *_up.exe en la carpeta system32 de Windows.

- Se elimina la siguiente entrada en el registro de Windows, que se ocupaba de lanzar al gusano en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
"avserve.exe" = C:\WINDOWS\avserve.exe
(avserve2.exe en el caso de Sasser.B)

- Borrar el archivo win.log creado por el gusano en la raíz de la unidad C
- Por último se reinicia el equipo


Las versiones con más dispersión
Unas horas después de la aparición del Sasser, se detectó una nueva variante muy similar, denominada Sasser.B. Microsoft distribuyó un comunicado especial alertando sobre el peligro y facilitando una herramienta on-line de detección y desinfección.

El funcionamiento del Sasser.B es similar al de la versión A con las siguientes excepciones:

- durante el barrido de IPs lanza 128 procesos en vez de 128 hilos
- log que crea en la unidad C: es win2.log en vez de win.log
- el gusano se renombra como avserve2.exe en vez de avserve.exe


Consecuencias hasta ahora
Sasser protagonizó la tercera o cuarta mayor infección en lo que va del 2004 año, después del Mydoom en enero, el Beagle en febrero y el Netsky en marzo y abril.

La aparición de la cuarta variante del gusano (Sasser.D), puede significar un aumento notorio en su propagación, ya que mientras las versiones A, B y C no pueden ejecutarse correctamente en equipos con Windows 95, 98 y Me, la D si puede hacerlo, aunque no los infecta. La posibilidad de que el gusano corra en esos sistemas, permite que aumente su rango de propagación, ya que cada vez que se ejecuta, puede rastrear miles de máquinas vulnerables a las que luego se podrá copiar. La versión D es capaz de rastrear más de 200 direcciones IP por segundo, en busca de equipos vulnerables.

Para aumentar la confusión, a principios de la semana pasada surgió una nueva variante del gusano Netsky, la cuál se propaga en un correo electrónico que simula ser una cura para el Sasser.

Grandes instituciones bancarias tuvieron que suspender parte de sus actividades, luego que al iniciar sus operaciones sus equipos se reiniciaban continuamente, con el trastorno que ello significa para la integridad de los datos manejados. El banco de inversiones Goldman Sachs dijo que sus operaciones asiáticas y estadounidenses fueron normalizadas recién a primera hora de la tarde del lunes después de que el gusano fue eliminado de sus equipos. En Australia, Westpac Bank también se vio afectado por el gusano, y las sucursales tuvieron que operar en contingencia.

La aerolínea estadounidense Delta Air Lines, también sufrió una infección que ocasionó retrasos y cancelaciones de algunos vuelos. Los sistemas informáticos de la compañía tardaron dos días en volver a la normalidad.
El banco finlandés Sampo, el tercero en importancia en ese país, tuvo que cerrar sus 130 sucursales, como medida de precaución.

En Taiwán, la agencia nacional de correo quedó paralizada por el gusano.
Más de 1,600 oficinas tuvieron que detener el lunes sus trabajos, y unos 1,300 bancos del estado suspendieron sus operaciones.

Las empresas atacadas, sufrirán grandes pérdidas, tanto por el tiempo que deberán estar fuera de línea y la disminución de sus horas productivas, como por los costos relacionados con los pagos a los expertos para remediar el daño causado.