Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables

Así funciona

Los ordenadores infectados por Sasser abren un servicio FTP en el puerto

TCP/5554 para permitir la descarga del ejecutable del gusano. Para

infectar a otros sistemas, el gusano realiza un barrido de direcciones

IP semialeatorio, intentando conectar con el puerto TCP/445 de cada una

de ellas (puerto por defecto donde se encuentra el servicio LSSAS

vulnerable).

El 25 por ciento de las direcciones IPs a las que se

dirige pertenecen a la misma clase A que la dirección IP del ordenador

infectado, otro 25 por ciento corresponderá a la misma clase B, mientras

que el 50 por ciento restante son calculadas completamente al azar.

Cada vez que consigue contactar con el puerto TCP/445 en alguna de las IPs,

envía código para explotar la vulnerabilidad LSASS, de forma que si el

sistema es vulnerable logra abrir un shell en el puerto TCP/9996. Desde

ese shell fuerza una conexión al puerto TCP/5554 del ordenador infectado

desde el que realizó el barrido, para descargar por FTP el ejecutable

del gusano. El nombre del archivo descargado será [numero]_up.exe, donde

[numero] equivale a una serie de dígitos al azar, por ejemplo

23983_up.exe.

En el nuevo sistema el gusano se copia en la

carpeta de Windows como avserve.exe con un tamaño de 15.872 bytes, y

añade la siguiente clave en el registro de Windows para asegurarse su

ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

“avserve.exe”=”%Windir%avserve.exe”

El nuevo sistema infectado

actuará entonces como otro punto de distribución, iniciando un nuevo

barrido de IPs en busca de otros sistemas vulnerables a los que infectar.