Alguien ajeno al creador del Sasser ha lanzado el Sasser.F

por Carlos 11/05/2004 ...

Parece ser que no dejan de aparecer nuevas variantes del Sasser, ya hablamos ayer del Cycle.A, que sin ser una variante, está intimamente relacionado con él. En este caso el Sasser.F sí es una variante, sobretodo, porque se está casi seguro de que se trata de la modificación por parte de un individuo ajeno al autor original, del código fuente.

Las diferencias, tal y como viene siendo común en las últimas variantes, apenas son considerables, pues el método de actuación e infección son los mismos. Por lo tanto, deducimos que la solución también lo es, instalarse el parche contra el fallo del LSASS. Hace más de dos semanas que Sasser.A apareción y más de tres que lo hizo el parche, por lo que esta variante del gusano no debería inquietar a nadie, pues el tiempo ha sido mas que suficiente para parchearnos, y la descarga del parche esta siendo inmensa, habiendose sobrepasado ya los seis millones de descargas.

Las diferencias, que como ya señalamos, son mínimas se refieren más que nada al nombre del archivo y la compresión, sustituyéndose el avserve.exe por napatch.exe, con la consecuente modificación del registro de sistema, y pasando a comprimirse mediante PECompact. El tamaño en este caso es de 74.752 bytes.

Continua incluyendo un mutex, en este caso el billgate, y un dato nuevo, es que si intentamos ejecutar el gusano desde Ms-Dos, en lugar del típico mensaje indicando que el archivo no puede ser ejecutado, nos aparece el texto Fuck Sammy!!!!!!!!!!!!!!!!!!!!!!!!!!!!.

Dato nuevo es también el que nos llega desde Alemania, donde se suguiere que el motivo del joven creador del Sasser no fue otro que aumentar el número de clientes en la tienda de ordenadores de su madre.

Finalmente recordar que no hay motivo por el que debamos preocuparnos si hemos descargado e instalado el parche correspondiente, y que aunque seguirán, muy probablemente, apareciendo nuevas variables y virus que se basen en el mismo fallo de Windows, no tendremos motivos para preocuparnos.

Para leer el artículo donde se detalla el método de infección y su eliminación Clíc aquí.

Parches necesarios a instalar:

-Windows XP: Clíc aquí.

-Windows NT Workstation: Clíc aquí.

-Windows NT Server 4.0: Clíc aquí.

-Windows NT Terminal Server Edition: Clíc aquí.

-Windows 2000: Clíc aquí.

-Windows XP 64-bits: Clíc aquí.

-Windows XP 64-bits versión 2003: Clíc aquí.

-Windows 2003: Clíc aquí.

-Windows 2003 64-bits: Clíc aquí.


Tags: Redes