Sasser puede funcionar también en sistemas operativos Windows 95/98/Me

por Carlos 04/05/2004 ...

Han pasado ya varias horas desde la aparición de la, por ahora, última variante del virus Sasser, la D, y sabemos algunos datos más que pueden ser muy relevantes para el usuario doméstico y sobretodo las empresas con redes. Antes de nada, repasaremos los archivos que crea esta variante: - x:/windows/skynetave.exe (Este archivo es el homólogo al avserve.exe de las variantes anteriores, es decir, el gusano en sí mismo) - x:/win2.log (En este inofensivo fichero se almacenan las descargas realizadas en el sistema mediante el gusano) -x:/windows/system32/*_up.exe (Donde la * corresponde a un número aleatorio de 4 o 5 cifras, este archivo es el descargado por el gusano, que posteriormente se instalará, y podremos encontrar más de una copia del mismo) Por otro lado, vuelve a realizar cambios en nuestro registro, añadiendo la linea HKLMSoftwareMicrosoftWindowsCurrentVersionRun skynetave.exe = c:windowsskynetave.exe, de forma que cada vez que iniciemos nuestro sistema Sasser lo haga también. Esta variante del gusano lanza 1024 hilos destinados a generar direcciones IP que serán probradas por el puerto TCP 445 en busca de un ordenador infectable. Cuando lo consigue ejecuta una shell (para aquellos que no sepan de que se trata pueden compararlo con la antigua ventana de MS-DOS) a través el puerto TCP 9996 para que comience la descarga del archivo *_up.exe por el tercer puerto a conocer, el TCP 5554. Esta es la forma en que el Sasser infecta otros ordenadores, lo que ahora hay que apuntar para la variante D, es que puede ser Ejecutada en sistemas operativos Windows 9X y Me. Ovbiamente no puede aprovecharse del bug del LSASS ya que este proceso no corre en tales sistemas, pero si puede infectar otros ordenadores, ya que esto no le impide realizar sus funciones. La única diferencia será que nuestro ordenador no se reiniciará, pero si se verá ralentizado, ya que el motivo de esto son los 1024 hilos de trabajo que sí estarán presentes. Por lo tanto, un ordenador, o una red de ordenadores, con Windows 9X o Me no podrá ser infectada desde Internet, pero será vulnerable al gusano desde otros ordenadores conectados en red y que ya hayan sido infectados, o desde medios extraibles como CDs, DVDs o disquettes. Hasta aquí lo que podemos contar acerca de esta variante, que aunque no es la más contagiosa, se encuentra al igual que las otras tres, en la lista de Panda de los 10 más detectados. El primer puesto, de entre estas cuatro variantes, lo ocupa la B, que no parece remitir aun y se prevee siga aumentando su cifra durante algun tiempo más. Ejemplos de sus efectos son la caida de un tercio de los ordenadores pertenecientes a la empresa postal taiwanesa, o la declaración de la guardia costera del Reino Unido referente a los ataques recibidos en su red por parte del gusano. Como medida de precaución la empresa finlandesa Sampo mantuvo cerradas durante varias horas sus 130 oficinas. Para terminar ya, mantenemos los links hacia los parches, los cuales han sido descargados una media de 9.8 millones de veces según datos de Microsoft, y del paquete de limpieza FxSasser. -Noticia primera:Clíc aquí. -Noticia segunda:Clíc aquí. -Noticia tercera:Clíc aquí. -FxSasser.exe: Clíc aquí. -Windows XP: Clíc aquí. -Windows NT Workstation: Clíc aquí. -Windows NT Server 4.0: Clíc aquí. -Windows NT Terminal Server Edition: Clíc aquí. -Windows 2000: Clíc aquí. -Windows XP 64-bits: Clíc aquí. -Windows XP 64-bits versión 2003: Clíc aquí. -Windows 2003: Clíc aquí. -Windows 2003 64-bits: Clíc aquí.


Tags: Redes