UNAM-CERT

En las ultimas Horas UNAM-CERT ha recibido información a través de diversos foros y listas de discusión de los principales Equipos de Respuesta a incidentes del Mundo acerca de la propagación de un nuevo gusano que intenta explotar las vulnerabilidades descritas en el Boletín de Seguridad de Microsoft MS04-011:

Actualización de Seguridad para Microsoft Windows (835732)

De acuerdo con los últimos reportes de diversos Equipos de Respuesta a Incidentes de Cómputo, el gusano Sasser podría ser comparado con el gusano Blaster o Lovsan aparecido en Agosto del año pasado.

El gusano Sasser al igual que el gusano Blaster es un gusano de red que se propaga de forma automática afectando sistemas Windows 2000, XP y 2003, escaneando direcciones IP aleatorias y utilizando un FTP para transferir el archivo del gusano al servidor infectado.

De forma similar, Sasser causa que las máquinas no actualizadas se reinicien, apareciendo una pantalla similar a la que aparecía con el gusano Blaster, solo que ahora hace referencia al archivo de sistema C:\WINNT\system32\lsass.exe.


Detalles Técnicos

1. Intenta crear un mutex llamado Jobaka3l y termina si el intento falla. Esto asegura que exista más de una instancia del gusano en ejecución en la computadora.
   
   
2. Se copia a sí mismo como %Windir%\avserve.exe. La variable %Windir% se refiere al directorio de instalación predeterminado C:\Windows (Windows XP/2003) o C:\Winnt (Windows 2000).
   
   
3. Agrega el valor:

   "avserve.exe"="%Windir%\avserve.exe"

   a la clave del registro:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

   para que el gusano se ejecute cuando inicie Windows.
   
   
4. Utiliza el API AbortSystemShutdown para intentar apagar o reiniciar los sistemas infectados.
   
   
5. Inicia un servidor FTP en el puerto 5554. Este servidor es utilizado para propagar el gusano a los servidores.
   
   
6. Intenta conectarse de forma aleatoria a direcciones IP a través del puerto TCP 445. Cuando una conexión es realizada a un equipo de cómputo, el gusano envía el código de explotación para que la computadora víctima pueda ejecutar un shell de forma remoto a través del puerto TCP 9996.
   
   Enseguida el gusano usa la conexión a través del shell en la computadora víctima para conectarse de a través del protocolo FTP estableciendo una conexión a un servidor FTP mediante del puerto 5554 y así obtener la copia del gusano. Esta copia tendrá un nombre que consiste de 4 o 5 dígitos seguido de la leyenda by_up.exe(por ejemplo: 74353_up.exe).
   
   Las direcciones IP generadas por el gusano son distribuidas de la siguiente forma:
   • El 50% son completamente aleatorias.
   • El 25% tienen el primer octeto igual a la dirección IP del servidor infectado.
   • El 25% tienen el primero y segundo octeto igual a la dirección IP del servidor infectado.
   
   
   El gusano inicia 128 subprocesos que escanean direcciones escogidas de forma aleatoria. Esto consume una gran cantidad de CPU y como resultado una computadora infectada podría disminuir su desempeño considerablemente.

• Sasser.B
  
  Esta variante puede ejecutarse en computadoras con windows 95/98/Me pero no infectarlas. Aunque estos sistemas operativos no pueden ser infectados, pueden ser utilizados para infectar sistemas vulnerables. El mutex que genera es llamado Jobaka3. El nombre del archivo al que se copia es %Windir%\avserve2.exe. Agrega el valor:

  "avserve.exe"="%Windir%\avserve2.exe"

  a la clave del registro:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  para que el gusano se ejecute cuando inicie Windows.
  
  
  
• Sasser.C
  
  Es una variante menor de Sasser.B. Esta variante en particular genera 1024 subprocesos (threads) en la rutina de infección, mientras que la variante B utiliza solo 128 subprocesos.
  
  
  
• Sasser.D
  
  Esta variante tiene actualizada la rutina para encontrar computadoras vulnerables, envía un requerimiento de eco ICMP antes de intentar hacer una conexión. Este cambio puede prevenir que el gusano se ejecute propiamente en algunos sistemas Windows.
  
  En sistemas Windows 2000 el gusano terminará su rutina antes de ejecutar cualquier código con el siguiente error:

  The procedure entry point IcmpSendEcho could not be located in the dynamic link library iphlpapi.dll.

  Intenta crear un mutex llamado SkynetSasserVersionWithPingFas. El ejecutable es copiado como %Windir%\avserve2.exe.
  
  Agrega el valor:

  "skynetave.exe"="%Windir%\skynetave.exe"

  a la clave del registro:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  Su rutina de búsqueda excluye las siguientes direcciones:
  • 127.0.0.1
  • 10.x.x.x
  • 172.16.x.x - 172.31.x.x (inclusive)
  • 192.168.x.x
  • 169.254.x.x
  
  Intenta conectarse de forma aleatoria a direcciones IP a través del puerto TCP 445. Cuando una conexión es realizada a un equipo de cómputo, el gusano envía el código de explotación para que la computadora víctima pueda ejecutar un shell de forma remoto a través del puerto TCP 9995.

• Aplicar una Actualización del Distribuidor
  
  Se recomienda instalar la actualización de seguridad que soluciona la vulnerabilidad que explota este gusano.
  
  Microsoft Security Bulletin MS04-011
  Security Update for Microsoft Windows (835732)
  http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
  
  Departamento de Seguridad en Cómputo/UNAM-CERT
  Actualización de Seguridad para Microsoft Windows (835732)
  http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.microsoft11-20040413.html
  
  
  
• Ejecutar, administrar y actualizar un software antivirus
  
  Aunque un paquete de software antivirus actualizado no puede brindar protección contra todos los códigos maliciosos, para la mayoría de los usuarios representa la primera línea de defensa contra ataques de código malicioso.
  
  La mayoría de los distribuidores antivirus liberan frecuentemente información actualizada, herramientas, o bases de datos de virus para ayudar a detectar y recuperar un sistema que ha sido infectado mediante un código malicioso, incluyendo Sasser. De esta forma, es importante que los usuarios mantengan su software antivirus actualizado.
  
  
• Utilizar un Firewall Personal
  
  El primer paso que se debe tomar para proteger su computadora de posibles infecciones es tener instalado y activado un firewall.
  
  Si su computadora ya ha sido infectada, el activar o instalar un firewall ayudará a limitar los efectos del gusano en su computadora.
  
  Si su computadora se reinicia constantemente, desconécte la computadora del Internet antes de activar o instalar un firewall.
  
  
  Los sistemas operativos Windows XP y Windows 2003 ya cuentan con un Firewall incorporado (Internet Connection Firewall) y puede ser habilitado de forma sencilla.
  
  Muchos firewall personales están disponibles en versiones gratuitas o de prueba.
  
  Algunos distribuidores de firewalls personales son los siguientes:
  
  
  • ZoneAlarm Pro (Zone Labs)
    
  • Norton Personal Firewall (Symantec)
    
  • McAffe Personal Firewall (McAffe)
    
  • Tiny Personal Firewall (Tiny Software)
    
  • Outpost Firewall (Agnitum)
    
  • Kerio Personal Firewall (Kerio Technologies)
    
  • BlackICE PC Protection (Internet Security Systems)
  
  
  
• Eliminación Manual
  
  
  • Finalizar el proceso malicioso.
    
    Para finalizar el proceso:
    1. Presione Ctrl+Alt+Delete una sola vez.
    2. De clic en el Administrador de Tareas.
    3. De clic en la pestaña Procesos.
    4. De doble clic en la columna Nombre de Imagen para ordenar alfabéticamente los procesos.
    5. Localice en la lista los siguientes procesos:
       • avserve.exe
       • cualquier proceso con un nombre consistente de 4 o 5 dígitos seguidos por _up.exe.
    6. Si se encuentran dichos procesos, de clic en ellos, y después en Terminar Proceso.
    7. Salga del Administrador de Tareas.
    
    
    
  • Deshabilitar System Restore (Windows XP).
    
    
    • Windows XP
      1. Haga clic en Inicio.
      2. Haga clic con el botón secundario en el icono Mi PC y, a continuación, haga clic en Propiedades.
      3. Haga clic en la pestaña Restaurar sistema.
      4. Marque la casílla Desactivar Restaurar sistema o la casílla Desactivar Restaurar sistema en todas las unidades.
      5. Haga clic en Aplicar y a continuación, en Aceptar.
      6. Como verá en el mensaje, esta acción eliminará todos los puntos de restauración existentes. Haga clic en Sí para llevar a cabo esta acción.
      7. Haga clic en Aceptar y reinice el sistema.
    
    
    
  • Eliminar los valores que fueron agregados al registro y reiniciar el equipo.
    
    
    1. Dar clic en Inicio y después en Ejecuta.
    2. Escribir regedit y presionar Aceptar.
    3. Buscar la siguiente llave:

       HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    4. En el panel de la derecha eliminar el siguiente valor:

       "avserve.exe"="%Windir%\avserve.exe"

    5. Salir del editor del registro.
    6. Reiniciar el equipo.
  
  
  
• Herramientas de eliminación automática
  
  
  • Symantec
    http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html
    
    
    • W32.Sasser.Worm
    • W32.Sasser.B.Worm
    • W32.Sasser.C.Worm
      
      
  • Trendmicro
    http://www.trendmicro.com/download/dcs.asp
    
    
    • WORM_SASSER.A
    • WORM_SASSER.B
    • WORM_SASSER.C
    • WORM_SASSER.D
      
      
  • Panda Software
    http://www.pandasoftware.com/download/utilities/
    
    
    • Sasser.A
    • Sasser.B
    • Sasser.C
    • Sasser.D
      
      
  • F-Secure
    ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.zip
    ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.exe
    ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.txt
    
    
    • Sasser.A
    • Sasser.B
    • Sasser.C
      
      
  • Microsoft
    http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&DisplayLang=en
    Herramienta de eliminación del gusano Sasser.A y Sasser.B (KB841720)
    
    
  • McAffe
    http://vil.nai.com/vil/stinger/
    
    
    • Sasser.A
    • Sasser.B
    • Sasser.C
    • Sasser.D
      
      
  • Sophos
    http://www.sophos.com/support/cleaners/sassgui.com

• F-Secure - http://www.f-secure.com/weblog/
• Sophos - http://www.sophos.com/virusinfo/analyses/w32sassera.html
• Symantec Corp. - http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
• Trend Micro - http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
• Panda Software - http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46865&sind=0
• McAffe - http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125007
• Computer Associates - http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012

• Juan Carlos Guel López (cguel@seguridad.unam.mx)
• Jesus Ramón Jiménez Rojas(jrojas@seguridad.unam.mx)