Microsoft alerta sobre el gusano Sasser y su nueva variante Sasser.B
Apenas unas horas después de la aparición del gusano de red Sasser, se
ha detectado una nueva variante muy similar, denominada Sasser.B.
Microsoft ha distribuido un comunicado especial alertando sobre el
peligro y facilitando una herramienta on-line de detección y
desinfección.
Como ya adelantamos en la entrega de ayer, ” 01/05/2004 – Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerables “, Sasser se aprovecha de un desbordamiento de buffer en
el servicio LSASS de Windows, vulnerabilidad corregida en el macroparche
MS04-011 que Microsoft distribuyó en abril.
Potenciales víctimas
de este gusano son aquellos sistemas que no hayan aplicado el parche
MS04-011 y que posean alguna de las siguientes versiones de Windows:
– Windows XP
– Windows XP Service Pack 1
– Windows 2000 Service Pack 2
– Windows 2000 Service Pack 3
– Windows 2000 Service Pack 4
Pese a
que en un primer momento Sasser.A y Sasser.B están afectando a los
sistemas vulnerables conectados directamente a Internet, si el gusano
alcanza redes locales e intranets puede causar daños mayores.
En
estos entornos cerrados, con direcciones privadas y a priori protegidos
por firewalls perimetrales de las conexiones de Internet, se suele
relajar la seguridad de los equipos, descuidando la actualización
puntual de los sistemas, y permitiendo el acceso indiscriminado a los
puertos TCP donde el gusano actúa. En una red corporativa Sasser puede
causar el colapso de los sistemas y las comunicaciones.
Especial
cuidado deberá aplicarse con la conexión de ordenadores a la red
corporativa, como por ejemplo portátiles, que pudieran haberse infectado
con anterioridad.
De nuevo, desde Hispasec recordamos la
necesidad de que todos los usuarios y administradores de sistemas, que
aun no lo hayan hecho, actualicen sus sistemas con este parche, bien a
través del servicio automático WindowsUpdate, bien descargándolo de forma directa en la página web del boletín.
Otras medidas preventivas, que recomiendan las
buenas prácticas de seguridad, pasan por filtrar los puertos TCP
afectados e impedir conexiones indiscriminadas. Para ello se puede
recurrir a las propias funcionalidades que proporciona Windows 2000 y XP
en las propiedades del protocolo TCP/IP, Opciones Avanzadas, pestaña
Opciones, propiedades Filtrado TCP/IP. Otra opción preventiva
recomendada pasa por instalar y activar un firewall personal.
Microsoft ha proporcionado una utilidad on-line para detectar y eliminar
al gusano Sasser.A y Sasser.B de los sistemas infectados desde una
página web, disponible en la siguiente dirección.
También puede descargarse el ejecutable para su uso posterior en cualquier sistema.
Las principales casas
antivirus también proporcionan utilidades similares, que pueden
encontrar en sus respectivas páginas web, además de las pertinentes
actualizaciones para sus motores antivirus.
Desinfección manual de Sasser.A y Sasser.B
Como primera medida es necesario instalar el parche MS04-011 de
Microsoft para evitar que el equipo se vuelva a infectar. En su defecto
impedir el acceso indiscriminado a los puertos TCP afectados, bien
filtrándolos directamente en la configuración de TCP/IP o activando un
firewall personal.
A continuación debemos eliminar al gusano de
la memoria, a través del administrador de tareas finalizaremos los
procesos avserver.exe (en el caso de Sasser.A), avserver2.exe (para
Sasser.B), y cualquier otro que responda al patrón *_up.exe, donde el
asterisco comodín equivale a varios dígitos al azar.
Después es
preciso eliminar esos mismos nombres de archivos que se encontraran en
nuestro sistema. Avserver.exe o avserver2.exe en la carpeta de Windows,
y *_up.exe en la carpeta system32 de Windows.
Por último se
reiniciará el equipo después de eliminar la siguiente entrada en el
registro de Windows, que se ocupaba de lanzar al gusano en cada inicio
de sistema:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
“avserve.exe” = C:WINDOWSavserve.exe (avserve2.exe en el caso de
Sasser.B)
Como ocurrió en el caso de Blaster, algunos usuarios se
encontrarán con problemas para instalar primero el parche MS04-011 desde
Internet, ya que aunque hagan el resto de pasos para desinfectar
manualmente el gusano, éste volverá a infectarles mientras realizan la
descarga del parche, provocando el reinicio del sistema e impidiendo la
actualización.
En estos casos se procederá en primer lugar a
filtrar los puertos TCP o a activar un firewall personal, lo que evita
una nueva infección del gusano. A continuación se realizarán los pasos
comentados para eliminarlo de la memoria, el disco duro y el registro,
por último se procederá a la actualización con el parche MS04-011 y
reinicio del equipo.
Descripción de Sasser.A y Sasser.B
A continuación reproducimos la descripción realizada del Sasser.A en la
anterior entrega de una-al-dia, ya que el funcionamiento de Sasser.B es
prácticamente idéntico, con las siguientes excepciones:
* durante
el barrido de IPs lanza 128 procesos en vez de 128 hilos
* log que
crea en la unidad C: es win2.log en vez de win.log
* el gusano se
renombra como avserve2.exe en vez de avserve.exe
Así funciona
Sasser.A. Los ordenadores infectados por Sasser abren un servicio FTP en
el puerto TCP/5554 para permitir la descarga del ejecutable del gusano.
Para infectar a otros sistemas, el gusano realiza un barrido de
direcciones IP semialeatorio, intentando conectar con el puerto TCP/445
de cada una de ellas (puerto por defecto donde se encuentra el servicio
LSSAS vulnerable).
El 25% de las direcciones IPs a las que se
dirige pertenecen a la misma clase A que la dirección IP del ordenador
infectado, otro 25% corresponderá a la misma clase B, mientras que el
50% restante son calculadas completamente al azar.
Cada vez que
consigue contactar con el puerto TCP/445 en alguna de las IPs, envía
código para explotar la vulnerabilidad LSASS, de forma que si el sistema
es vulnerable logra abrir un shell en el puerto TCP/9996. Desde ese
shell fuerza una conexión al puerto TCP/5554 del ordenador infectado
desde el que realizó el barrido, para descargar por FTP el ejecutable
del gusano. El nombre del archivo descargado será [numero]_up.exe, donde
[numero] equivale a una serie de dígitos al azar, por ejemplo
23983_up.exe.
En el nuevo sistema el gusano se copia en la
carpeta de Windows como avserve.exe con un tamaño de 15.872 bytes, y
añade la siguiente clave en el registro de Windows para asegurarse su
ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
“avserve.exe”=”%Windir%avserve.exe”
El nuevo sistema infectado
actuará entonces como otro punto de distribución, iniciando un nuevo
barrido de IPs en busca de otros sistemas vulnerables a los que infectar.
Además de detectar la entrada en el registro, el archivo avserve.exe en la
carpeta de Windows, el proceso avserve.exe en memoria, o el archivo
win.log en el raíz de la unidad C:, otro síntoma que nos puede indicar
que un sistema se encuentra infectado es una ralentización general, que
será provocada por el consumo de CPU que provocan los 128 hilos de
ejecución que el gusano lanza para realizar los barridos de IPs.
Otras evidencias visibles a primera vista son las ventanas de Windows
alertando de problemas en LSA Shell o de errores en lsass.exe y el
reinicio del sistema, provocados por la explotación del desbordamiento
de buffer del servicio LSASS.