Sasser.A comienza a causar problemas en miles de ordenadores

por Carlos 01/05/2004 ...

Los virus y gusanos son un problema muy común para la mayoría de usuarios de sistemas operativos Microsoft, su rápida aparición y, todo hay que decirlo, gran cantidad de vulnerabilidades de estos sistemas, son los motivos principales.

Una de estas vulnerabilidades, más concretamente un buffer no chequeado de la aplicación LSASS, ha posibilitado la aparición del gusano Sasser.A. Aunque este gusano no debería causar graves problemas, ya que el parche ante el fallo que aprovecha se encuentra en la web de Microsoft desde hace varios días, el numero de infecciones es bastante elevado, situando algunas webs como la de Panda en alerta naranja.

Sasser.A comienza a causar problemas en miles de ordenadores, Imagen 1

Para entender como actua el gusano veamos antes la función del LSASS, (Local Security Authority Subsystem Service), un proceso interno de sistema operativo que se encarga de mantener la seguridad de la máquina local, la autentificación de dominios y el Active Directory.

El gusano accede mediante Internet, por los puertos TCP: 135, 139, 445 y 593, a un buffer creado por el LSASS y que no es chequeado, pudiendo modificar su contenido por uno propio. Esto conlleva la ejecución de un código ajeno a la máquina y que a su vez puede realizar tareas varias, en el caso que nos ocupa, la descarga del gusano en sí y su posteríor ejecución.

De esta forma, y como bien apunta la propia Microsoft en su página web, cualquier persona con los suficientes conocimientos puede "tomar el control completo del sistema afectado".

Hay que puntualizar que los sistemas operativos que se verán afectados serán Windows XP y Windows 2000, y en menor medida, Windows 2003 y Windows XP 64-bits, ya que en estos últimos es necesaria la introducción del nombre de usuario y contraseñas de un administrador para poder modificar el buffer del LSASS.

Sasser.A, cuando ya ha sido descargado en la máquina, es ejecutado y lleva a cambo una serie de tareas para asegurar sus próximas ejecuciones cada vez que se inicie el sistema, y su propagación hacia otros ordenadores, con el consecuente reinicio del sistema operativo.

De esta forma podremos identificar la presencia del gusano en nuestro ordenador mediante los siguientes síntomas:

1. Existencia de x:\windows\avserve.exe (x:\winnt\avserver.exe en el caso de los NT)

2. Existencia de x:\win.log

3. Entrada en el registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

avserve = avserve.exe

Con estos datos hemos de ser capaces por lo tanto de saber si estamos infectados, y en el caso de estarlos, como desinfectarnos. Pero veamos un poco más de cerca cada uno de los síntomas antes nombrados.

avserve.exe es el gusano propiamente dicho, el que se ejecutará cada vez que arranquemos y se propagara a otros ordenadores si se lo permitimos.

win.log es un archivo inofensivo en el que se guardará por parte del gusano las descargas realizadas para su instalación.

La entrada en el registro de Windows es la forma en que el gusano asegura su ejecución en cada arranque.

Aunque la eliminación puede resultar algo obvia, vamos a detallar los pasos para que más que sencillo.

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del directorio de Windows y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución del regedit ( Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición, Buscar: avserve ) y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la herramienta de Restaurar Sistema ( Menú Inicio, Panel de Control, Sistema, Lengueta: Restaurar sistema, marcar la casilla: Deshabilitar Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP o 2003 puede recurrirse al Firewall propio. ( Menú Inicio, Panel de Control, Conexiones de Red, Propiedades de la conexión principal, Lengueta: Avanzadas, marcar la casilla: Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet ).

De esta forma habremos conseguido librarnos nosotros mismos de un gusano, y asegurarnos que no nos volverá a afectar.

Si los pasos anteriores resultan complicados para el usuario, siempre puede recurrir a soluciones de antivirus que realizarán los pasos previos automáticamente.

Parches necesarios a instalar:

-Windows XP: Clíc aquí.

-Windows NT Workstation: Clíc aquí.

-Windows NT Server 4.0: Clíc aquí.

-Windows NT Terminal Server Edition: Clíc aquí.

-Windows 2000: Clíc aquí.

-Windows XP 64-bits: Clíc aquí.

-Windows XP 64-bits versión 2003: Clíc aquí.

-Windows 2003: Clíc aquí.

-Windows 2003 64-bits: Clíc aquí.


Tags: Redes