Flux rss

Virus - Sasser


Introducción al virus Sasser

El virus Sasser (también conocido como W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b o Win32.Sasser) apareció en mayo de 2004 y es un virus que explota un agujero de seguridad de LSASS (Autoridad de seguridad local), que corresponde al archivo ejecutable lsass.exe) en Windows. La aparición del primer virus en explotar la falla de seguridad en LSASS de Windows se produjo apenas dos semanas después de que se publicara la falla y se lanzaran los primeros parches correctivos. Windows NT 4.0, 2000, XP y (en menor grado) Windows Server 2003 están todos afectados.

Cómo trabaja el virus

El virus Sasser está programado para ejecutar 128 procesos (1024 para la variante SasserC) que analizan una cantidad de direcciones IP aleatorias que buscan sistemas vulnerables a la falla LSASS en el puerto 455/TCP.

El virus instala un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo.

Después, cuando encuentra un equipo vulnerable, el gusano abre un shell remoto en el equipo (en el puerto TCO 9996) y hace que el equipo remoto descargue una copia del gusano (denominada avserve.exe o avserve2.exe para la variante Sasser.B) en el directorio de Windows.

Una vez que se descargó el archivo, el virus crea un archivo llamado win.log (o win2.log para la variante Sasser.B) en el directorio c:\ que registra la cantidad de equipos que pueden estar infectados. A continuación, crea entradas en el registro para reiniciarse cada vez que el equipo se reinicie: 

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe
    o
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
    		   avserve.exe -> C:\%WINDIR%\avserve.exe

El virus ejecuta "AbortSystemShutdown" para evitar que el usuario u otros virus reinicien el equipo (o lo desactiven).

Síntomas de infección

Explotar la vulnerabilidad de LSASS provoca algunos errores en los equipos afectados, los cuales están relacionados con el cierre de los servicios LSASS (proceso lsass.exe). Los sistemas vulnerables tienen los siguientes síntomas:

  • Reinicios no deseados, en los que el sistema muestra el mensaje: 
    Cierre del sistema iniciado por Autoridad/Sistema
    El proceso del sistema: C:\WINDOWS\system32\Isass.exe
    finalizado de manera inesperada con código de estado 128.
  • Tráfico de red en puertos TCP 445, 5554 y 9996,
  • Cierre repentino de "LSASS.EXE" con un mensaje de error que dice: 
    lsass.exe - error de aplicación

Cómo eliminar el virus

Para eliminar el gusano Sasser, el mejor método es, en primer lugar, proteger el sistema mediante la activación del firewall. En Windows XP, dirigirse a 

Menú Inicio > Configuración > Panel de control > Conexiones de red
Después, hacer clic con el botón derecho del ratón en la conexión a Internet y hacer clic en Propiedades.Seleccionar la ficha "Opciones avanzadas", después marcar la casilla "Proteger mi equipo y mi red limitando o impidiendo el acceso al mismo desde Internet" y aplicarla al hacer clic en Aceptar.

A continuación, se debería actualizar el sistema, ya sea mediante el uso de Windows Update o bien bajando e instalando el parche que se adecue a su sistema operativo:

Por último, se puede desinfectar el sistema con el kit de desinfección:
Descargue el kit de desinfección

Además, teniendo en cuenta que el virus se dispersa mediante el sistema de red de Microsoft Windows, se recomienda instalar un firewall personal en los equipos que están conectados a Internet y también filtrar puertos TCP/445, TCP/5554 y TCP/9996.

Más información acerca del virus


Este documento intitulado « Virus - Sasser » de Kioskea (es.kioskea.net) esta puesto a diposición bajo la licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.
 
GUSANO SASSERHola, Quiero informaicon del gusano sasser? es.kioskea.net/forum/affich-3744-gusano-sasser
Procesos: isass: isass.exe El proceso isass.exe (isass) puede indicar la presencia de un gusano Sasser (W32.Sasser.Worm o Win32/Sasser). A continuación, mostraremos una lista de consejos que serán de ayuda para desinfectar su máquina y aprender el funcionamiento de los virus,... es.kioskea.net/processus/isass-exe.php3
Procesos: avserve: avserve.exe El proceso avserve.exe (avserve) indica la presencia de un virus Sasser que en Windows aprovecha una vulnerabilidad dentro de LSASS (Local Security Authority Subsystem Service, que corresponde a un archivo ejecutable lsass.exe). A continuación,... es.kioskea.net/processus/avserve-exe.php3
La Herramienta de eliminación de software malintencionadoPresentación del antimalware de Windows: La herramienta de eliminación de software malintencionado de Microsoft busca infecciones por software malintencionado específico y predominante, como Blaster, Sasser y Mydoom, y ayuda a eliminarlas. Cuando... es.kioskea.net/faq/sujet-600-la-herramienta-de-eliminacion-de-software-malintencionado
Procesos: skynetave: skynetave.exe El proceso skynetave.exe (skynetave.exe) puede indicar la presencia de un gusano Sasser (W32.Sasser.Worm o Win32/Sasser). A continuación, mostraremos una lista de consejos que serán de ayuda para desinfectar su máquina y aprender el funcionamiento... es.kioskea.net/processus/skynetave-exe.php3
Todas las respuestas a « Sasser »