Spanish
 sitios mundiales
productos
compras en Symantec
servicio y soporte
security response
downloads
socios de negocios
acerca de Symantec
búsqueda
comentarios


©1995-2012 Symantec Corporation.
Todos los derechos reservados.

 Nota Legal
Política de Privacidad
actualizaciones de seguridad

W32.Sasser.Worm

Categoría 2
Descubierto el: 30/04/2004
Actualizado por última vez el: 08/11/2006


Debido a la disminución en el número de envíos, Symantec Security Response ha cambiado de categoría 3 a categoría 2 el nivel de esta amenaza a partir del 12 de mayo del 2004.

W32.Sasser.Worm es un gusano que trata de explotar la vulnerabilidad MS04-011. Se dispersa por medio de una búsqueda, seleccionando en forma aleatoria las direcciones de los sistemas vulnerables.

Notas:
  • Las definiciones de virus de respuesta rápida versión 30/04/04 rev 70 (20040430.070) y posteriores, detectan esta amenaza.
  • Este gusano maneja un hash MD5 con valor 0xA73C16CCD0B9C4F20BC7842EDD90FC20
  • Symantec Security Response ha desarrollado una herramienta de eliminación para eliminar infecciones causadas por W32.Sasser.Worm.


W32.Sasser.Worm se puede ejecutar en equipos con Windows 95/98/Me, pero no los infecta. Aunque los equipos con estos sistemas operativosno se infectan, si pueden ser utilizados para infectar equipos vulnerables a los que se puedan conectar. En este caso, el gusano tomará demasiados recursos del equipo, por lo que los programas no se podrá ejecutar de manera apropiada, incluyendo la herramienta de eliminación. En equipos con Windows 95/98/Me la herramienta deberá ejecutarse en modo a prueba de fallos.

También conocido como: W32/Sasser.worm.a [McAfee], WORM_SASSER.A [Trend], Worm.Win32.Sasser.a [Kaspersky], W32/Sasser-A [Sophos], Win32.Sasser.A [Computer Associates], Sasser [F-Secure], W32/Sasser.A.worm [Panda]
Tipo: Worm
Longitud de la infección: 15,872 bytes
Sistemas afectados: Windows 2000, Windows XP
Sistemas no afectados: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003
Referencias CVE: CAN-2003-0533

protección
  • Definiciones de virus (LiveUpdate™ Weekly)

    • 01/05/2004
  • Definiciones de virus (Intelligent Updater)

    • 01/05/2004

    evaluación de peligrosidad

    Salvaje

    Datos de la amenaza
    Baja Baja Media

    Salvaje:
    Baja

    Daño:
    Baja

    Distribución:
    Media

    Daño

    Distribución

    detalles técnicos

    Cuando W32.Sasser.Worm se ejecuta realiza los siguiente:

      1. Intenta crear un mutex llamado Jobaka3l y finaliza su actividad si falla el intento. Esto asegura que el gusano no se ejecute en el equipo más de una ocasión en cualquier momento.
      2. Se copia así mismo como %Windir%\avserve.exe.

        Nota: %Windir% es una variable. El gusano busca la carpeta de instalación de Windows (por defecto, esta es C:\Windows o C:\Winnt) y se copia así mismo en dicha carpeta.

      3. Agrega el valor:

        "avserve.exe"="%Windir%\avserve.exe"

        a la calve de registro:

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

        por lo que el gusano se ejecuta al iniciar Windows.

      4. Utiliza el AbortSystemShutdown API para estorbar que el equipo se reinicie o se apague.

      5. Inicia un servidor FTP en el puerto TCP 5554. Este servidor se utiliza para dispersar el gusano en otros servidores.

      6. Intenta en forma iterativa en todas las direcciones IP, buscando direcciones exceptuando las siguientes:
        • 127.0.0.1
        • 10.x.x.x
        • 172.16.x.x - 172.31.x.x (incluso)
        • 192.168.x.x
        • 169.254.x.x

      7. Utilizando una de estas direcciones IP, el gusano genera una dirección IP aleatoria:
        • 52% de las ocasiones, son completamente aleatorias
        • 23% de las ocasiones, los últimos tres octetos de la dirección IP se cambian por números aleatorios
        • 25% de las ocasiones, los últimos dos octetos de la dirección IP se cambian por números aleatorios

          Notas:
        • Un octeto corresponde a un sección de 8 bits, con los que se forma una dirección IP. Por ejemplo, si A.B.C.D es una dirección IP, A es el primer octeto, B es el segundo, C es el tercero y D es el cuarto.
        • Dado que el gusano puede crear direcciones completamente aleatorias, cualquier rango de direcciones IP puede quedar infectado.
        • Este proceso se realiza con 128 rutinas, las cuales demandan muchísimos recursos y tiempo del CPU. Como resultado, los equipos infectados se pueden tornar muy lentos y difícilmente utilizables.

      8. Se conecta a una dirección IP generada aleatoriamente en el puerto TCP 445 para determinar si un equipo remoto está en línea.

      9. Si se establece una conexión en un equipo remoto, el gusano enviará un código de manipulación shell al equipo, con lo cual puede abrir un shell remoto en el puerto TCP 9996.

      10. Utiliza el shell en el equipo remoto para conectarse de nueco en el servidor FTP del equipo infectado sobre el puerto TCP 5554 y recupera una copia del gusano. Esta copia tendrá un nombre formado con cuatro o cinco dígitos seguidos de _up.exe. Por ejemplo 74354_up.exe.

      11. El proceso Lsass.exe colapsará el sistema, después de que el gusano explote la vulnerabilidad de Windows LSASS. Windows mostrará la alerta y apagará el sistema en 1 minuto.
      12. Crea un archivo en C:\win2.log que contiene la dirección IP del equipo más reciente, al que el gusano trató de infectar, así como el número de equipos infectados.

      Symantec Gateway Security 5400 Series y Symantec Gateway Security v1.0
      • Componente de Antivirus: Existe una actualización para Symantec Gateway Security AntiVirus que protege a los usuarios contra W32.Sasser.B.Worm se le recomienda a los usuarios de Symantec Gateway Security 5000, ejecutar LiveUpdate.
      • Componente IDS/IPS: Existe una firma incluida en SU 8 para Symantec Gateway Security 5400 Series con la que se detectan los ataques que tratan de explotar la vulnerabilidad de Microsoft LSASS, la firma se liberó el 14 de abril. Existe una firma con la que se detectan los ataques que tratan de explotar la vulnerabilidad de Microsoft LSASS en SGS v1.0. Recomendamos a los usuarios de Symantec Gateway Security 5000 Series ejecutar LiveUpdate.
      • Componente Full application inspection firewall: En forma predeterminada la tecnología full application inspection firewall protege a su red de la propagación de W32.Sasser.B.Worm bloqueando los el puerto TCP 445 y los backdoors en equipos infectados (TCP 554 Y 9996. Recomendamos insistentemente a los administradores verificar que sus políticas de seguridad no permitan la entrada de tráfico en esos puertos.

      Symantec Enterprise Firewall 8.0
      En forma predeterminada al seguir el asistente de configuración la tecnología full application inspection firewall protege a su red de la propagación de W32.Sasser.B.Worm bloqueando cualquier ataque en el puerto TCP 445 y los puertos del backdoor en los equipos infectados (TCP/5554, TCP/9996). Recomendamos insistentemente a los administradores verificar que las políticas de seguridad no permitan la entrada de tráfico en esos puertos.

      Symantec Enterprise Firewall 7.0.x y Symantec VelociRaptor 1.5
      En forma predeterminada al seguir el asistente de configuración la tecnología full application inspection firewall protege a su red de la propagación de W32.Sasser.B.Worm bloqueando cualquier ataque en el puerto TCP 445 y los puertos del backdoor en los equipos infectados (TCP/5554, TCP/9996). Recomendamos insistentemente a los administradores verificar que las políticas de seguridad no permitan la entrada de tráfico en esos puertos.

      Symantec Clientless VPN Gateway 4400 Series
      Esta amenaza no afecta a Symantec Clientless VPN Gateway v5.0. En forma predeterminadam bloquea a los puertos TCP 445, 5554 y 9996.

      Symantec Gateway Security 300 Series
      En forma predeterminada la tecnología stateful inspection firewall de Symantec evita el acceso de un atacante en el puerto TCP/445 en sistemas internos y los puertos del backdoor (TCP 5554, 9996) en sistemas infectados. Recomendamos insistentemente a los administradores verificar que las políticas de seguridad no permitan la entrada de tráfico en TCP/445, TCP/5554, TCP/9996 así como el uso de la función AVpe en SGS 300 series para asegurarse que todos los clientes estén actualizados con las definiciones de virus más recientes.

      Symantec Firewall/VPN 100/200 Appliances
      En forma predeterminada la tecnología stateful inspection firewall de Symantec evita el acceso de un atacante en el puerto TCP/445 en sistemas internos y los puertos del backdoor (TCP 5554, 9996) en sistemas infectados.

      Symantec Client Security
      Symantec liberó un parche para Symantec Client Security 1.x y 2.0 con el que se identifica la vulnerabilidad LSASS con "Microsoft RPC LSASS DS Request". Si la aplicación de Sasser aún está presente en el sistema, todas las versiones de Symantec Client Security que mantengan la política predeterminada del firewall solicitarán al usuario Permitir/Bloquear/Configurar una regla para el gusano, al momento que intente iniciar un servidor FTP y enviar información hacia afuera.

      Las definiciones de virus para protegerlo de este gusano, están disponibles por medio de LiveUpdate o Intelligent Updater a partir del 1o de mayo del 2004.

    recomendaciones

    Symantec Security Response invita a todos los usuarios y administradores a adherirse a las siguientes "mejores prácticas" básicas para su seguridad:

    • Desconecte y elimine todos los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como clientes de FTP, telnet y servidores de web. A través de estos servicios penetran buena parte de los ataques. Por lo tanto, si se eliminan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
    • Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
    • Mantenga siempre el parche actualizado, sobre todo en equipos que ofrezcan servicios públicos, a los que se puede acceder a través de algún firewall como, por ejemplo, servicios HTTP, FTP, de correo y DNS.
    • Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños cuando un equipo es atacado o, al menos, limita esta posibilidad.
    • Configure su servidor de correo electrónico para que bloquee o elimine los mensajes que contengan archivos adjuntos que se utilizan comúnmente para extender virus, como archivos .vbs, .bat, .exe, .pif y .scr.
    • Aísle rápidamente los equipos que resulten infectados para evitar que pongan en peligro otros equipos de su organización. Realice un análisis posterior y restaure los equipos con medios que sean de su confianza.
    • Instruya a sus empleados para que no abran archivos adjuntos a menos que los esperen. El software descargado desde Internet no debe ejecutarse, a menos que haya sido analizado previamente en busca de virus. Basta únicamente con visitar un sitio web infectado para que pueda infectarse si las vulnerabilidades del explorador de web no han sido correctamente corregidas con parches.
    instrucciones para la eliminación


    Antes de comenzar:
    Si cuenta con Windows 2000 o XP debe aplicar el parche para evitar la vulerabilidad descrita en el boletín de Microsoft Security MS04-011. De no hacerlo, es muy probable que su equipo continúe reinfectándose.

    Que hacer si su equipo se apaga antes de aplicar el parche u obtener la herramienta
    Esta amenaza puede provocar que Windows se mantenga reiniciando o apagando contantemente. Por lo que la aplicación del parche o la descarga de la herramienta, no podrán completarse. Para evitar estos inconvenientes, siga los siguientes pasos, los cuales quizás deberá seguir en varias ocasiones dado que el tiempo con el que cuenta para llevar a cabo los pasos del 3 al 6 son sólo 20 segundos. Este proceso no funciona en Windows 2000.
    1. Desconecte el equipo de la red y su conexión a internet. Retire el cable para asegurar que no estén las conexiones.
    2. Reinicie el equipo.
    3. Tan pronto como inicie Windows y aparezca el escritorio, haga clic en Inicio > Ejecutar.
    4. Escriba:

      cmd

      y presione la tecla Intro.

    5. Escriba:

      shutdown -i

      y presione la tecla Intro.

    6. Dentro del cuadro de diálogo de Apagado Remoto cambie 20 segundos por:

      9999

      y haga clic en Aceptar.

      Esto le dara casi tres horas para instalar el parche, actualizar las definiciones y continuar.

    7. Vuelva a conectar el equipo en red y también la conexión a internet.
    8. Acceda a Internet y obtenga el parche. Continue con los pasos descritos a continuación.

    Una vez que haya aplicado el parche y eliminado el gusano, podrá restablecer el valor de apagado remoto a 20 segundos, si así lo desea.



    Eliminación de W32.Sasser.Worm por medio de la herramienta
    Symantec Security Response ha desarrollado una herramienta de eliminación para eliminar infecciones causadas por W32.Sasser.Worm. Esta es la forma más sencilla de eliminar las infecciones causadas por esta amenaza y debería de utilizarse en primera instancia.

    Eliminación manual
    Como una alternativa a la herramienta de eliminación, usted puede eliminar de forma manual esta amenaza.

    Las siguientes instrucciones aplican para todos los productos antivirus de Symantec actuales y recientes, incluyendo las líneas de producto Symantec AntiVirus y Norton Antivirus.
    1. Finalizar el proceso malicioso
    2. Desactive Restaurar el sistema (Windows Me o XP).
    3. Actualice las definiciones de virus.
    4. Ejecute un análisis completo del sistema y elimine todos los archivos que se detecten como W32.Sasser.Worm.
    5. Elimine el valor que se haya agregado al registro.
    Para obtener detalles específicos sobre cada uno de estos pasos, lea las instrucciones a continuación.

    1. Para finalizar los procesos maliciosos
      Para finalizar los procesos maliciosos:
      1. Oprima al mismo tiempo las teclas Ctrl+Alt+Supr.
      2. Haga clic en Administrador de tareas.
      3. Haga clic en la pestaña Procesos.
      4. Haga dos veces clic sobre la columna Nombre de la Imagen para ordenar en forma alfabética los procesos.
      5. Desplácese y búsque en la lista los siguientes procesos:
        • avserve.exe
        • cualquier proceso con el nombre compuesto por 4 o 5 dígitos seguidos de _up.exe (por ejemplo: 74354_up.exe).
      6. Si encuentra alguno de estos procesos, haga clic sobre de ellos (uno por uno) y después en Fianlizar proceso.
      7. Salga del Administrador de tareas.

    2. Deshabilitar Restaurar sistema de Windows ME/XP
      Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

      Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft.
      Nota: Una vez que concluya con el procedimiento de eliminación y esté seguro de que haya sido exitoso el proceso, vuelva a habilitar System Restore siguiendo las instrucciones antes mencionadas.

      Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la Base de conocimientos de Microsoft, cuyo ID es: Q263455.


    3. Actualice las definiciones de virus
      Symantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
      • Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
      • Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
        Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos de definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

    4. Búsqueda y eliminación de archivos infectados

    5. Eliminación de los valores que fueron agregados al registro de Windows

    ADVERTENCIA: Symantec recomienda insistentemente que se haga una copia de respaldo del Registro antes de efectuar cualquier cambio. La realización de cambios incorrectos en el registro puede ocasionar la pérdida definitiva de datos o daños en los archivos. Modifique sólo las claves que se indiquen. Las instrucciones para hacer la copia se detallan en el documento Cómo crear una copia de respaldo del Registro de Windows.
    1. Haga clic en Inicio y, después, en Ejecutar. (Aparecerá el cuadro de diálogo Ejecutar.)

    2. Escriba regedit.


      A continuación, haga clic en Aceptar. (Se abrirá el Editor del Registro.)

    3. Desplácese hasta la clave:


      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    4. En el panel derecho, elimine el valor:


      "avserve.exe"="%Windir%\avserve.exe"

    5. Salga del registro de Windows.

    6. Reinicie su equipo en Modo Normal. Si desea mayor información para realizar esta acción, consulte el documento Cómo iniciar su equipo en Modo seguro.

    Historial de revisiones:

    • 12 de mayo del 2004: Debido a la disminución en el número de envíos, se cambió de categoría 3 a categoría 2 el nivel de esta amenaza.
    • 3 de mayo del 2004:
      • Se agregó información.
      • Se agregó información de productos Symantec.
    • 29 de abril del 2004:
      • Se elevó a categoría 3 en base a las notificaciones recibidas.
      • Se incluyó vínculo a la herramienta de eliminación.

    Escrito por: Takayoshi Nakayama & Fergal Ladley