Archivado en Digital
Nuevo Virus/gusano informático Sasser
El pasado 1 de Mayo se activó un nuevo virus informático que se le ha llamado Sasser
El pasado 1 de Mayo se activó un nuevo virus informático al que se ha llamado Sasser y que por su daño y su elevada difusión se ha catalogado como muy peligroso.
nombre: Win32/Sasser.A
aliases: Sasser, W32/Sasser-A, W32/Sasser.worm, W32/Sasser.A, WORM_SASSER.A
tipo: Gusano de Internet
fecha: 01/05/2004
tamaño: 15,872
Bytes
destructivo: Si
origen: Desconocido
· INFORMACION
Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS (Local
Security Authority Subsystem), reparada por Microsoft en el parche MS04-011.
Solo afecta computadoras bajo Windows XP o 2000, que no posean dicho parche
instalado.
· CARACTERISTICAS
Existe una posible infección cuando se producen continuos cuelgues del
proceso LSASS.EXE, y existe el siguiente archivo en el sistema:
c:win.log
Se genera tráfico excesivo en los siguientes puertos TCP:
445, 5554 y 9996
Análisis:
El gusano es un archivo de 15,872 bytes.
El gusano se copia a si
mismo en la carpeta de Windows con el siguiente nombre:
c:windowsavserve.exe
NOTA: La carpeta "c:windows" puede variar de acuerdo al sistema operativo instalado ("c:winnt" en NT, "c:windows", en 9x, Me, XP, etc.).
También crea el
siguiente archivo:
c:win.log
Modifica la siguiente entrada
en el registro para autoejecutarse en cada reinicio de Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
avserve = c:windowsavserve.exe
El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).
Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.
En Windows XP, muestra una ventana con un mensaje muy similar al siguiente:
En Windows 2000 se muestra una ventana casi idéntica a la provocada en
Windows XP por el gusano Blaster (Lovsan):
El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).
Windows 9x, Me y NT, no son vulnerables.
Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.
A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE), provocando la infección.
El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.
El archivo C:WIN.LOG registra todas las transacciones FTP realizadas.
El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
Jobaka3l
El uso de un cortafuego
personal, disminuye el riesgo de infección.
· INSTRUCCIONES PARA ELIMINARLO
1. Descargue e instale el parche MS04-011 y luego reinicie el equipo:
Microsoft Security Bulletin
MS04-011
www.microsoft.com/technet/security/bulletin/ms04-011.mspx
2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
3. Elimine bajo la columna "Nombre", la entrada "avserve", en la siguiente clave del registro:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
4. En Windows NT, 2000 y XP, abra la siguiente clave del registro:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
5. Cierre el editor del registro.
6. Reinicie
el equipo y ejecute un antivirus actualizado para eliminar toda presencia del
gusano.
BOLETÍN INFORMATIVO
Aprobadas las tablas salariales de 2025 para el sector de Contact Center
Modelo de carta de Baja Voluntaria en la empresa
Calendario Laboral 2025. Publicado en el BOE
Zapatero congela las pensiones, baja el sueldo a los funcionarios y no descarta subir impuestos
Convenio Sectorial Estatal de Marcas de Restauración Moderna