Virus Sasser.E

Efectos:

Sasser.E realiza las siguientes acciones:

• Provoca el reinicio de los ordenadores con Windows XP/2000 cuando intenta afectarlos, aprovechando la vulnerabilidad LSASS. Cuando se realiza esta acción, Sasser.E muestra el siguiente mensaje en pantalla:
  
  
• Muestra en pantalla el siguiente mensaje cada 2 horas:
  
  1. Your computer is affected by the MS04-011 vulnerability
  2. It can be that dangerous computer viruses similar
  the Blaster worm infect your computer
  3. Please update your computer with the MS04-011 LSASS patch
  from the www.microsoft.com website
  4. This is an message from the SkyNet Team for
  malicious activity prevention

Metodo de infección:

Sasser.E crea los siguientes archivos:

• LSASSS.EXE en el directorio de Windows. Este archivo es una copia del gusano.
• FTPLOG.TXT en el directorio raíz de la unidad C:. Este archivo contiene la dirección IP del ordenador afectado.

Sasser.E crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  lsasss.exe = %windir%\ lsasss.exe
  donde %windir% es el directorio de Windows.
  Mediante esta entrada, Sasser.E consigue ejecutarse cada vez que se inicia Windows.

Sasser.E borra las siguientes entradas del Registro de Windows, si existen:

• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Drvddll_exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  ssgrate.exe
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  drvsys.exe
  Estas entradas pertenecen a los gusanos Mitglieder.A y diversas variantes de Bagle.

Metodo de propagación:

Sasser.E se propaga a través de Internet, atacando ordenadores remotos. Para ello, realiza el siguiente proceso:

• Sasser.E realiza peticiones IMCP a direcciones IP aleatorias a través del puerto TCP 445. Genera un ataque a una dirección IP distinta cada 25 milisegundos. Sin embargo, evita atacar a las direcciones IP que pertenezcan a cualquiera de los siguientes rangos:
  127.0.0.1
  10.x.x.x
  172.16.x.x a 172.31.x.x
  192.168.x.x
  169.254.x.x
  donde x es un número comprendido entre 0 y 255.
• Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad LSASS. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
• En caso afirmativo, abre un shell en el puerto TCP 1022, con el que Sasser.E crea y ejecuta el script CMD.FTP. Dicho script, descarga el gusano por FTP, a través del puerto TCP 1023, al ordenador vulnerable.
• La copia de sí mismo descargada tendrá un nombre variable %número%_UPLOAD.EXE, donde %número% es un número aleatorio.

Cuando Sasser.E explota la vulnerabilidad LSASS, provoca un desbordamiento de buffer en el programa LSASS.EXE, lo cual desencadena el reinicio del ordenador.

Sasser.E sólo se propaga de manera automática a ordenadores con Windows XP/2000. Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Sasser.E convertiría dicho ordenador en un nuevo foco de propagación.

Otros detalles:

Sasser.E está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 15872 Bytes y está comprimido mediante PECompact.

Sasser.E crea el mutex SkynetNotice para asegurarse de que sólo existe una copia suya ejecutándose al mismo tiempo.