Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Sasser.A | |
Peligrosidad Daño Propagación |
De un vistazo
| |
| Nombre común: | Sasser.A |
| Nombre técnico: | W32/Sasser.A.worm |
| Peligrosidad: | Alta |
| Tipo: | Gusano |
| Efectos: | Provoca el reinicio del ordenador. Se propaga explotando la vulnerabilidad LSASS. |
| Plataformas que infecta: |
Windows 2003/XP/2000/NT/ME/98/95 |
| Fecha de detección: | 01/05/2004 |
| Detección actualizada: | 06/03/2006 |
| Estadísticas | No |
Protección proactiva: | Sí, mediante las Tecnologías TruPrevent
|
| Utilidad de reparación: | Panda QuickRemover |
Descripción Breve | |
Sasser.A es un gusano que se propaga a través de Internet, explotando la vulnerabilidad LSASS en ordenadores remotos. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados. Sasser.A provoca el reinicio del ordenador de forma automática cuando intenta afectar estas versiones de Windows utilizando dicha vulnerabilidad. Sasser.A sólo se propaga de manera automática a ordenadores con Windows XP/2000. Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Sasser.A convertiría dicho ordenador en un nuevo foco de propagación. Si su ordenador tiene como sistema operativo Windows XP/2000, es recomendable descargar el parche de seguridad para la vulnerabilidad LSASS desde la página de Microsoft. |
Síntomas Visibles | |
Sasser.A es fácil de reconocer, ya que provoca el reinicio del sistema en ordenadores con Windows XP/2000 cuando intenta afectarlos, explotando la vulnerabilidad LSASS. Cuando se lleva a cabo esta acción, Sasser.A muestra el siguiente mensaje en pantalla: 
|
Detalles técnicos
Efectos |
Sasser.A provoca el reinicio de los ordenadores con Windows XP/2000 cuando intenta afectarlos, aprovechando la vulnerabilidad LSASS. Cuando se realiza esta acción, Sasser.A muestra el siguiente mensaje en pantalla:
|
Metodo de Infección
Sasser.A crea los siguientes archivos:
Sasser.A crea la siguiente entrada en el Registro de Windows:
Método de Propagación
Sasser.A se propaga a través de Internet, atacando ordenadores remotos. Para ello, realiza el siguiente proceso:
Sasser.A lanza 128 hilos simultáneos, con los que genera direcciones IP aleatorias.
Intenta acceder a dichas direcciones IP a través del puerto TCP 445.
Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad LSASS. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
En caso afirmativo, abre un shell en el puerto TCP 9996, con el que Sasser.A crea y ejecuta el script CMD.FTP, detectado por los productos Panda como W32/Sasser.ftp. Dicho script descarga el gusano por FTP, a través del puerto TCP 5554, al sistema vulnerable.
La copia de sí mismo descargada tendrá un nombre variable %número%_UP.EXE, donde %número% es un número aleatorio.
Cuando Sasser.A explota la vulnerabilidad LSASS, provoca un desbordamiento de buffer en el programa LSASS.EXE, lo cual desencadena el reinicio del ordenador.
Sasser.A sólo se propaga de manera automática a ordenadores con Windows XP/2000. Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Sasser.A convertiría dicho ordenador en un nuevo foco de propagación.
Otros Detalles
Sasser.A está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 15872 Bytes.
