Desde Hispasec recomendamos encarecidamente, a todos los usuarios y administradores que aun no lo hayan hecho, actualicen sus sistemas con este parche, bien a través del servicio automático WindowsUpdate ( http://windowsupdate.microsoft.com), bien descargándolo según versión en ( http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx).
En estos momentos la propagación de Sasser en Internet va en aumento exponencial, afectando a usuarios domésticos y servidores que no cuentan con las mínimas medidas de seguridad (con el puerto TCP/445 sin filtrar).
Hispasec pronostica que se pueden dar casos aun más significativos a partir del lunes y en días sucesivos, si Sasser logra penetrar en redes locales e intranets. En estos entornos los sistemas Windows 2000 y XP se encuentran con medidas de seguridad más relajadas, además no se suele prestar especial atención a su actualización, a diferencia de los sistemas que se conectan directamente a Internet, como los servidores.
Aunque las redes privadas estén protegidas en el perímetro, no debemos olvidar que en ocasiones se conectan a ellas dispositivos móviles, como ordenadores portátiles. Es bastante frecuente el caso de usuarios que conectan sus portatiles a Internet en su hogar, se infectan por no contar con una protección adecuada, y posteriormente conectan el portatil a la red local del trabajo provocando la infección de los sistemas corporativos.
Así funciona
Los ordenadores infectados por Sasser abren un servicio FTP en el puerto TCP/5554 para permitir la descarga del ejecutable del gusano. Para infectar a otros sistemas, el gusano realiza un barrido de direcciones IP semialeatorio, intentando conectar con el puerto TCP/445 de cada una de ellas (puerto por defecto donde se encuentra el servicio LSSAS vulnerable).
El 25% de las direcciones IPs a las que se dirige pertenecen a la misma clase A que la dirección IP del ordenador infectado, otro 25% corresponderá a la misma clase B, mientras que el 50% restante son calculadas completamente al azar.
Cada vez que consigue contactar con el puerto TCP/445 en alguna de las IPs, envía código para explotar la vulnerabilidad LSASS, de forma que si el sistema es vulnerable logra abrir un shell en el puerto TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del ordenador infectado desde el que realizó el barrido, para descargar por FTP el ejecutable del gusano. El nombre del archivo descargado será [numero]_up.exe, donde [numero] equivale a una serie de dígitos al azar, por ejemplo 23983_up.exe.
En el nuevo sistema el gusano se copia en la carpeta de Windows como avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun «avserve.exe»=»%Windir%avserve.exe»
El nuevo sistema infectado actuará entonces como otro punto de distribución, iniciando un nuevo barrido de IPs en busca de otros sistemas vulnerables a los que infectar.
Síntomas
Además de detectar la entrada en el registro, el archivo avserve.exe en la carpeta de Windows, o el proceso avserve.exe en memoria, otro síntoma que nos puede indicar que un sistema se encuentra infectado es una ralentización general, que será provocada por el consumo de CPU que provocan los 128 hilos de ejecución que el gusano lanza para realizar los barridos de IPs.
Otras evidencias visibles a primera vista son las ventanas de Windows alertando de problemas en LSA Shell o de errores en lsass.exe y el reinicio del sistema, provocados por la explotación del desbordamiento de buffer del servicio LSASS.
Desinfección
Como indicamos al principio de la nota, como primera medida de prevención para no volver a infectarnos por el gusano, debemos instalar el parche MS04-011. A continuación podemos finalizar el proceso avserve.exe de la memoria con el administrador de tareas (pulsando a la vez las teclas CTRL-ALT-SUPR ), eliminar el ejecutable avserve.exe de la carpeta de Windows, así como la entrada del registro que hace referencia a él, comentada con anterioridad. Adicionalmente, también puede borrarse el archivo win.log de la raíz de la unidad C:, creado por el gusano.
Más información:
Win32.Sasser.A
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
WIN32/SASSER.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=821&alerta=1
Sasser
http://www.f-secure.com/v-descs/sasser.shtml
W32/Sasser.worm
http://vil.nai.com/vil/content/v_125007.htm
W32/Sasser.A
http://www.norman.com/Virus/Virus_descriptions/14919/es
Sasser.A
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=46865
W32/Sasser-A
http://www.sophos.com/virusinfo/analyses/w32sassera.html
W32.Sasser.Worm
http://www.sarc.com/avcenter/venc/data/w32.sasser.worm.html
WORM_SASSER.A
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_SASSER.A
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
