|
W32/Sasser.E
Sasser.E es un gusano/backdoor residente en memoria, variante del Sasser, reportado el 10 de Mayo del 2004, que se aprovecha de la vulnerabilidad LSASS de MS Windows, un desbordamiento del buffer que permite que un intruso obtenga el control del sistema afectado, pudiendo ejecutar comandos y códigos malignos.
Uno de sus peligros de esta especie viral consiste en que si bien tan solo infecta a Windows NT/2000/XP también se ejecuta en Windows 95/98/Me a cuyos sistemas no logra afectar pero los usa como transportador para infectar sistemas vulnerables a los cuales se pueda conectar.
Usa los puertos TCP 1022 y 1023 a través de los cuales permite que ciertos archivos del sistema sean abiertos y ejecutados.
Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en Assembler con 15.5 KB de extensión y compilado con la plataforma .NET
Una vez activado, el gusano se auto-copia al directorio %Windir% con el nombre de lsasss.exe y para ejecutarse la próxima vez que se inicie el sistema genera la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"lsasss.exe" =
"%Windir%\lsasss.exe"
Al siguiente re-inicio, el gusano busca la presencia del Mutex "SkynetNotice" para verificar si el sistema ya se encuentra infectado y de hallarlo no se ejecutará.
Borra las siguientes claves:
las cuales son creadas por los gusanos Trojan.Mitglieder, Beagle.W y Beagle.X en la llave de registro:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Para propagarse extrae las direcciones IP de los sistemas infectados usando el API gethostbyname evitando las siguientes direcciones:
Usa 128 hilos, cada uno de los cuales verifica si el sistema infectado está conectado a Internet para proceder a su propagación con un rango de ataque de 40 veces por segundo.
Si logra ingresar a un sistema vulnerable, el gusano envía un paquete especialmente diseñado para producir el desbordamiento del buffer en el archivo LSASS.EXE, el mismo que colapsará y será necesario re-iniciar el sistema. El sistema muestra esta caja de diálogo:
Al invocar al API AbortSystemShutdown
cada segundo, durante las 2 primeras horas, el gusano impide los intentos
de apagar o re-iniciar el sistema por parte del usuario y luego muestra el siguiente mensaje de
texto:
| Your computer is affected by the MS04-011 vulnerability 2. It can be that dangerous computer viruses similar the Blaster worm infect your computer 3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website 4. This is an message from the SkyNet Team for malicious activity prevention |
Actuando como Backdoor envía paquetes SMB (Server Message Block) a los sistemas vulnerables a través de los puertos TCP y UPD 445 y extrae un letrero SMB que obliga a responder a los sistemas atacados.
Como resultado, ejecuta un código que crea un comando Shell, abre el puerto TCP 1022 en el sistema remoto y crea el Script CMD.FTP.
Este archivo contiene instrucciones para descargar el gusano de los sistemas infectados haciendo uso del puerto TCP 1023 y luego lo ejecuta. Después de ejecutado en memoria, se borra automáticamente.
Crea en el directorio raíz un archivo de nombre ftplog.txt en cual almacena la cantidad de sistemas remotos que el sistema puede infectar, además de la dirección IP del sistema últimamente infectado.
La información y parche para esta vulnerabilidad se puede leer y descargar desde este enlace:
Microsoft Security Bulletin MS04-011
Los payloads de este gusano/troyano/backdoor son los siguientes:
PER ANTIVIRUS® versiones 8.6 con registro de virus al 10 de Mayo del 2004 detecta y elimina eficientemente este gusano/backdoor.
