Sasser.C

SASSER.C, destructivo gusano/backdoor aprovecha vulnerabilidad LSASS controla sistemas vía FTP.

W32/Sasser.C

Sasser.C es un gusano/backdoor residente en memoria reportado el 03 de Mayo del 2004, que se aprovecha de la vulnerabilidad LSASS de MS Windows, un desbordamiento del buffer que permite que un intruso obtenga el control del sistema afectado.

Para propagarse realiza un rastreo de direcciones IP aleatorias y al ingresar a un sistema el gusano envía un paquete artificial que produce un desbordamiento en el archivo LSASS.EXE, un componente del sistema que realiza un proceso de autenticación de seguridad local en servidores con tecnología NT.

Como consecuencia haciendo uso del puerto TCP 445, genera un comando Shell que permite que ciertos archivos del sistema sean abiertos y ejecutados. Crea además el Script CMD.FTP que tiene instrucciones para ejecutar esta especie viral vía FTP.

Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en Assembler con 15.5 KB de extensión.

Una vez ejecutado, el gusano se auto-copia al directorio %Windir% con el nombre de Avserver2.exe y para ejecutarse la próxima vez que se inicie el sistema genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avserve2.exe" = "%Windir%\avserve2.exe"

Al siguiente re-inicio, el gusano busca por la presencia de los siguientes Mutex para verificar si el sistema ya se encuentra infectado:

Jobaka3
JumpallsNlsTillt

En caso hallar uno de ellos no se ejecutará.

Actuando como Backdoor el sistema infectado abre el puerto TCP 5554 para aceptar cualquier petición o comando vía FTP incluyendo la descarga de un archivo [número_entero_aleatorio]_up.exe, el cual es almacenado en el directorio %Windir%.

Después de descargado, el archivo borra el archivo CMD.FTP y crea en el directorio raíz de nombre WIN2.LOG, el mismo que almacena la cantidad de sistemas remotos que el sistema puede infectar, además de la dirección IP de sistema infectado recientemente.

Una vez ocasionado el desbordamiento en el archivo LSASS.EXE, este colapsa y consecuentemente será necesario re-iniciar el sistema. El sistema muestra esta caja de diálogo:

La información y parche para esta vulnerabilidad se puede leer y descargar desde este enlace:

Microsoft Security Bulletin MS04-011

Los payloads de este gusano/troyano/backdoor son los siguientes:

Aprovecha la vulnerabilidad LSASS de MS Windows detallado en el Boletín MS04-011.
Rastrea direcciones IP aleatorias y envía un paquete artificial que produce un desbordamiento en el archivo LSASS.EXE.
Haciendo uso del puerto TCP 445, genera un comando Shell que permite que ciertos archivos del sistema sean abiertos y ejecutados.
Crea el Script CMD.FTP que tiene instrucciones para ejecutar esta especie viral vía FTP.
El sistema infectado abrirá el puerto TCP 5554 para aceptar cualquier petición o comando vía FTP incluyendo la descarga de un archivo con un número entero aleatorio de 4 o 5 dígitos y la extensión _up.EXE.
Genera un desbordamiento del buffer del archivo LSASS.EXE que colapsará el sistema y será necesario re-iniciar Windows.

PER ANTIVIRUS® versiones 8.6 con registro de virus al 03 de Mayo del 2004 detecta y elimina eficientemente este gusano/backdoor.