Principal |    Sitios de Interés   |    Preguntas Frecuentes   |  Contáctanos
¿Qué es CERT.ve?
¿Cómo asociarse?
Suscripción
Servicios
Novedades
Reporte de Incidentes
Reporte de Vulnerabilidades
Tips de Seguridad
Biblioteca
Noticias
Eventos
 
 
 

 

Bienvenidos

Equipo de Respuesta para Emergencias Informáticas

 

 

En las últimas horas se ha recibido información a través de diversos foros y listas de discusión de los principales Equipos de Respuesta a incidentes del Mundo acerca de la propagación de un nuevo gusano que intenta explotar las vulnerabilidades descritas en el Boletín de Seguridad de Microsoft MS04-011:

Actualización de Seguridad para Microsoft Windows (835732)
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

El gusano trata de propagarse escaneando direcciones IP escogidas de forma aleatoria en lo sistemas vulnerables.


Fecha de liberación:

1 de Mayo de 2004

Ultima Revisión:

3 de Mayo de 2004

Fuentes:

US-CERT, CERT.ORG

Sistemas Afectados
Descripción

De acuerdo con los últimos reportes de diversos Equipos de Respuesta a Incidentes de Cómputo, el gusano Sasser podría ser comparado con el gusano Blaster o Lovsan aparecido en Agosto del año pasado.

El gusano Sasser al igual que el gusano Blaster es un gusano de red que se propaga de forma automática afectando sistemas Windows 2000, XP y 2003, escaneando direcciones IP aleatorias y utilizando un FTP para transferir el archivo del gusano al servidor infectado.

De forma similar, Sasser causa que las máquinas no actualizadas se reinicien, apareciendo una pantalla similar a la que aparecía con el gusano Blaster, solo que ahora hace referencia al archivo de sistema C:\WINNT\system32\lsass.exe .


Detalles Técnicos

•  Intenta crear un mutex llamado Jobaka3l y termina si el intento falla. Esto asegura que exista más de una instancia del gusano en ejecución en la computadora.

•  Se copia a sí mismo como %Windir%\avserve.exe. La variable %Windir% se refiere al directorio de instalación predeterminado C:\Windows (Windows XP/2003) o C:\Winnt (Windows 2000).

•  Agrega el valor:

"avserve.exe"="%Windir%\avserve.exe"

a la clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run

para que el gusano se ejecute cuando inicie Windows.

•  Utiliza el API AbortSystemShutdown para intentar apagar o reiniciar los sistemas infectados.

•  Inicia un servidor FTP en el puerto 5554. Este servidor es utilizado para propagar el gusano a los servidores.

•  Intenta conectarse de forma aleatoria a direcciones IP a través del puerto TCP 445. Cuando una conexión es realizada a un equipo de cómputo, el gusano envía el código de explotación para que la computadora víctima pueda ejecutar un shell de forma remoto a través del puerto TCP 9996.

Enseguida el gusano usa la conexión a través del shell en la computadora víctima para conectarse de a través del protocolo FTP estableciendo una conexión a un servidor FTP mediante del puerto 5554 y así obtener la copia del gusano. Esta copia tendrá un nombre que consiste de 4 o 5 dígitos seguido de la leyenda by_up.exe(por ejemplo: 74353_up.exe).

Las direcciones IP generadas por el gusano son distribuidas de la siguiente forma:

•  El 50% son completamente aleatorias.

•  El 25% tienen el primer octeto igual a la dirección IP del servidor infectado.

•  El 25% tienen el primero y segundo octeto igual a la dirección IP del servidor infectado.



El gusano inicia 128 subprocesos que escanean direcciones escogidas de forma aleatoria. Esto consume una gran cantidad de CPU y como resultado una computadora infectada podría disminuir su desempeño considerablemente.


Variantes

"avserve.exe"="%Windir%\avserve2.exe"

a la clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run

para que el gusano se ejecute cuando inicie Windows.

 

 

En sistemas Windows 2000 el gusano terminará su rutina antes de ejecutar cualquier código con el siguiente error:

The procedure entry point IcmpSendEcho could not be located in the dynamic link library iphlpapi.dll.

Intenta crear un mutex llamado SkynetSasserVersionWithPingFas. El ejecutable es copiado como %Windir%\avserve2.exe .

Agrega el valor:

"skynetave.exe"="%Windir%\skynetave.exe"

a la clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run

Su rutina de búsqueda excluye las siguientes direcciones:


Intenta conectarse de forma aleatoria a direcciones IP a través del puerto TCP 445. Cuando una conexión es realizada a un equipo de cómputo, el gusano envía el código de explotación para que la computadora víctima pueda ejecutar un shell de forma remoto a través del puerto TCP 9995.

 

Solución


Se recomienda instalar la actualización de seguridad que soluciona la vulnerabilidad que explota este gusano.


Microsoft Security Bulletin MS04-011
Security Update for Microsoft Windows (835732)


http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Departamento de Seguridad en Cómputo/UNAM-CERT
Actualización de Seguridad para Microsoft Windows (835732)
http://www.seguridad.unam.mx/vulnerabilidades/

vulnerabilidad.microsoft11-20040413.html

Principal | ¿Qué es Cert.gov.ve? | ¿Cómo asociarse? | Suscripción| Servicios | Novedades | Reporte de Incidentes | Reporte de Vulnerabilidades | Biblioteca | Tips de Seguridad | Contáctanos | Sitios de Interés | Preguntas Frecuentes