Sasser E

CARACTERISTICAS
Existe una posible infección cuando se producen continuos reinicios de Windows por error en el proceso LSASS.EXE, y además existe el siguiente archivo en el sistema:

c:ftplog.txt

Se genera tráfico excesivo en los siguientes puertos TCP:

445, 1022 y 1023

Análisis:

El gusano es un archivo de 15,872 bytes.

Se copia a si mismo en la carpeta de Windows con el siguiente nombre:

c:windowslsasss.exe

NOTA: La carpeta “c:windows” puede variar de acuerdo al sistema operativo instalado (“c:winnt” en NT, “c:windows”, en 9x, Me, XP, etc.).

También crea los siguientes archivos:

c:ftplog.txt
c:windowssystem32#_update.exe (varias copias)

Donde # es un número de cinco dígitos.

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
lsasss.exe = c:windowslsasss.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).

Esta versión es capaz de escanear más de 5,120 direcciones por segundo.

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

Esta versión utiliza una de las APIs de Windows (rutinas utilizadas para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo del equipo), para intentar evitar que la computadora se reinicie (efecto provocado por la infección). El gusano llama a esta API una vez por segundo durante las primeras 2 horas, y luego muestra el siguiente mensaje:

1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar
the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS
patch from the www.microsoft.com website
4. This is an message from the SkyNet Team for
malicious activity prevention

Luego de ello, Windows XP, puede mostrar una ventana con un mensaje muy similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 se muestra una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHYSYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:WINNTsystem32lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/1022.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UPDATE.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/1023 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:FTPLOG.TXT registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

SkynetNotice

Esta variante, intenta borrar del registro las siguientes entradas creadas por el gusano Bagle:

HKCUSoftwareMicrosoftWindows
CurrentVersionRun
“ssgrate.exe”
“drvsys.exe”
“Drvddll_exe”

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
“ssgrate.exe”
“drvsys.exe”
“Drvddll_exe”

El uso de un cortafuego personal, disminuye el riesgo de infección.

> INSTRUCCIONES PARA ELIMINARLO
1. Descargue e instale el parche MS04-011 y luego reinicie el equipo:

Microsoft Security Bulletin MS04-011
www.microsoft.com/technet/security/bulletin/ms04-011.mspx

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

3. Elimine bajo la columna “Nombre”, la entrada “lsasss.exe”, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

4. Cierre el editor del registro.

5. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Deja un comentario