Como ya adelantamos ayer, «01/05/2004 – Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables», Sasser se aprovecha de un desbordamiento de buffer en el servicio LSASS de Windows, vulnerabilidad corregida en el macroparche MS04-011 que Microsoft distribuyó en abril.
Potenciales víctimas de este gusano son aquellos sistemas que no hayan aplicado el parche MS04-011 y que posean alguna de las siguientes versiones de Windows:
- – Windows XP
– Windows XP Service Pack 1
– Windows 2000 Service Pack 2
– Windows 2000 Service Pack 3
– Windows 2000 Service Pack 4
Pese a que en un primer momento Sasser.A y Sasser.B están afectando a los sistemas vulnerables conectados directamente a Internet, si el gusano alcanza redes locales e intranets puede causar daños mayores.
En estos entornos cerrados, con direcciones privadas y a priori protegidos por firewalls perimetrales de las conexiones de Internet, se suele relajar la seguridad de los equipos, descuidando la actualización puntual de los sistemas, y permitiendo el acceso indiscriminado a los puertos TCP donde el gusano actúa. En una red corporativa Sasser puede causar el colapso de los sistemas y las comunicaciones.
Especial cuidado deberá aplicarse con la conexión de ordenadores a la red corporativa, como por ejemplo portátiles, que pudieran haberse infectado con anterioridad.
De nuevo, desde Hispasec recordamos la necesidad de que todos los usuarios y administradores de sistemas, que aun no lo hayan hecho, actualicen sus sistemas con este parche, bien a través del servicio automático WindowsUpdate ( http://windowsupdate.microsoft.com), bien descargándolo de forma directa en la página web del boletín ( http://www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.asp ).
Otras medidas preventivas, que recomiendan las buenas prácticas de seguridad, pasan por filtrar los puertos TCP afectados e impedir conexiones indiscriminadas. Para ello se puede recurrir a las propias funcionalidades que proporciona Windows 2000 y XP en las propiedades del protocolo TCP/IP, Opciones Avanzadas, pestaña Opciones, propiedades Filtrado TCP/IP. Otra opción preventiva recomendada pasa por instalar y activar un firewall personal.
Microsoft ha proporcionado una utilidad on-line para detectar y eliminar al gusano Sasser.A y Sasser.B de los sistemas infectados desde una página web, disponible en la dirección: http://www.microsoft.com/security/incident/sasser.asp
También puede descargarse el ejecutable para su uso posterior en cualquier sistema: http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en
Las principales casas antivirus también proporcionan utilidades similares, que pueden encontrar en sus respectivas páginas web, además de las pertinentes actualizaciones para sus motores antivirus.
Desinfección manual de Sasser.A y Sasser.B
Como primera medida es necesario instalar el parche MS04-011 de Microsoft para evitar que el equipo se vuelva a infectar. En su defecto impedir el acceso indiscriminado a los puertos TCP afectados, bien filtrándolos directamente en la configuración de TCP/IP o activando un firewall personal.
A continuación debemos eliminar al gusano de la memoria, a través del administrador de tareas finalizaremos los procesos avserver.exe (en el caso de Sasser.A), avserver2.exe (para Sasser.B), y cualquier otro que responda al patrón *_up.exe, donde el asterisco comodín equivale a varios dígitos al azar.
Después es preciso eliminar esos mismos nombres de archivos que se encontraran en nuestro sistema. Avserver.exe o avserver2.exe en la carpeta de Windows, y *_up.exe en la carpeta system32 de Windows.
Por último se reiniciará el equipo después de eliminar la siguiente entrada en el registro de Windows, que se ocupaba de lanzar al gusano en cada inicio de sistema:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun «avserve.exe» = C:WINDOWSavserve.exe (avserve2.exe en el caso de Sasser.B)
Como ocurrió en el caso de Blaster, algunos usuarios se encontrarán con problemas para instalar primero el parche MS04-011 desde Internet, ya que aunque hagan el resto de pasos para desinfectar manualmente el gusano, éste volverá a infectarles mientras realizan la descarga del parche, provocando el reinicio del sistema e impidiendo la actualización.
En estos casos se procederá en primer lugar a filtrar los puertos TCP o a activar un firewall personal, lo que evita una nueva infección del gusano. A continuación se realizarán los pasos comentados para eliminarlo de la memoria, el disco duro y el registro, por último se procederá a la actualización con el parche MS04-011 y reinicio del equipo.
Descripción de Sasser.A y Sasser.B
El funcionamiento de Sasser.B es prácticamente idéntico, con las siguientes excepciones:
- * durante el barrido de IPs lanza 128 procesos en vez de 128 hilos
* log que crea en la unidad C: es win2.log en vez de win.log
* el gusano se renombra como avserve2.exe en vez de avserve.exe
Noticia Relacionada Informativos.Net:
ALERTA: GUSANO SASSER INFECTA AUTOMÁTICAMENTE SISTEMAS WINDOWS 2000 Y XP VULNERABLES
02 de Mayo de 2004
