W32/Sasser.G. Libera además al gusano Netsky.ACNombre: W32/Sasser.G
Tipo: Gusano de Internet
Alias: Sasser.G, I-Worm.Sasser.G, I-Worm/Sasser.G,
W32.Sasser.G, W32.Sasser.G.Worm, W32/Sasser.G,
W32/Sasser.G.worm, W32/Sasser.worm.g, W32/Sasser-G,
Win32.HLLW.Jobaka, Win32.Sasser.G, Win32.Worm.Sasser.G,
Win32/Sasser.G, Win32/Sasser.G.worm, Win32/Sasser.G.Worm,
Win32:Sasser-G [Wrm], Worm.Sasser.G, Worm.Win32.Sasser.g,
Worm.Win32.Sasser.gen, Worm/Sasser.G, WORM_SASSER.G
Fecha: 24/ago/04
Plataforma: Windows NT, 2000, XP, 2003
Tamaño: 58,800 bytes
Puertos: TCP 445, 5554 y 9996
Se trata de una variante modificada del "Sasser.F", con otro nombre de ejecutable y otras claves del registro. Además libera en las máquinas infectadas una copia del gusano W32/Netsky.AC (ver
http://www.vsantivirus.com/netsky-ac.htm).
Es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de
Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm).
Afecta computadoras que se ejecuten bajo Windows XP o 2000, sin el parche MS04-011 instalado.
Puede ejecutarse (pero no infectar) máquinas con Windows 95, 98 y Me. Sólo necesita ejecutarse para propagarse, no requiere ser instalado en el equipo.
El gusano se copia a si mismo en la carpeta de Windows con alguno de los siguientes nombres:
c:\windows\avserve3.exe
c:\windows\wserver.exe
También crea y ejecuta los siguientes archivos:
c:\windows\skynet.cpl
c:\windows\comp.cpl
El primero de estos archivos es detectado como el gusano W32/Netsky.AC.
También crea los siguientes archivos:
c:\win2.log
c:\windows\system32\####_up.exe (varias copias)
Donde #### es un número de cuatro o cinco dígitos, ejemplos:
c:\windows\system32\74733_up.exe
c:\windows\system32\31357_up.exe
c:\windows\system32\2941.exe
Crea alguna de las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run avserve3.exe = c:\windows\avserve3.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run wserver = c:\windows\wserver.exe
El gusano inicia varios hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).
Esta versión utiliza una de las APIs de Windows (rutinas utilizadas para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo del equipo), para intentar evitar que la computadora se reinicie (efecto provocado por la infección).
Sin embargo, cuando el proceso se detiene, puede mostrarse una ventana de Windows con un mensaje de error antes de que el sistema se reinicie. El mensaje contiene el siguiente texto:
LSA Shell (Versión Exportar) ha encontrado un problema y debe cerrarse.
Aunque Windows 9x, Me y NT, no son vulnerables, el gusano puede ejecutarse en máquinas con estos sistemas operativos, siendo los mismos utilizados para infectar a aquellos sistemas vulnerables a los que puedan conectarse. Cuando se ejecuta el gusano, es notoria la caída en el rendimiento del equipo.
Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.
A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado COMP.CPL. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre ####_UP.EXE, donde #### es un número de cuatro o cinco dígitos), provocando la infección.
El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.
El archivo C:\WIN2.LOG registra todas las transacciones FTP realizadas, incluyendo las direcciones IP de los equipos a los que logra infectar.
El gusano crea los siguientes mutex para no ejecutarse más de una vez en memoria:
PinaasoSky
Jobaka3
Más información:
http://www.vsantivirus.com/sasser-g.htm
