SASSER.G, destructivo gusano/backdoor aprovecha vulnerabilidad LSASS controla sistemas vía FTP.  

© Jorge Machado  Lima-Perú

W32/Sasser.G

Sasser.G es un gusano/backdoor residente en memoria, variante del Sasser, reportado el 25 de Agosto del 2004, que se aprovecha de la vulnerabilidad LSASS de MS Windows, detallada en el boletín MS04-011 de Microsoft, la cual permite un desbordamiento de buffer facilitando que un intruso obtenga el control del sistema afectado, pudiendo ejecutar remotamente comandos y códigos malignos. 

El gusano se propaga en direcciones IP en forma aleatoria, haciendo uso de puertos TCP infectándolas con el gusano Netsky.AC@mm

Uno de sus peligros de esta especie viral consiste en que si bien tan solo infecta a Windows 2000/XP también se ejecuta en Windows 95/98/Me a cuyos sistemas no logra afectar pero los usa como transportador para infectar sistemas vulnerables a los cuales se pueda conectar.

Usa el puerto TCP 9996 a través del cual se conecta a un servidor FTP del cual descarga, abre y ejecuta copias infectadas de sí mismo. 

Es un PE (Portable Ejecutable) e infecta Windows 2000/XP, incluyendo los servidores 2000/Server 2003, está escrito en Visual C++ con 57.5 KB de extensión y comprimido con el utilitario PECompact:

http://www.collakesoftware.com/pecompact.htm

Una vez activado, el gusano crea los Mutex "PinaasoSky" y "Jobaka3" para evitar ejecutarse en memoria más de una vez. 

Luego se copia a %Windir% con los nombres avserve3.exe y wserver.exe liberando a ese mismo directorio los archivos Skynet.cpl y Comp.cpl, que contienen el código viral del gusano Netsky.AC@mm.    

y para ejecutarse la próxima vez que se inicie el sistema genera una de las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"avserve3.exe" = "%Windir%\avserve3.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"wserver" = "%Windir%\wserver.exe" 

Al activarse el gusano, invoca al API AbortSystemShutdown que impide que el usuario del sistema infectado pueda apagar o re-iniciar su equipo y al mismo tiempo activa un servidor FTP, usando el puerto TCP 5554 para rastrear direcciones IP a las cuales infecta.

Captura las IP contenidas en los sistemas infectados y usando una de ellas, elegida aleatoriamente, se conecta al puerto TCP 445 para verificar si el equipo remoto está conectado a Internet.

Si logra conectarse, el gusano enviará un código Shell que abrirá el puerto TCP 9996, en el sistema remoto y crea el Script Cmd.ftp, que emplea para conectar al sistema con el servidor FTP infectado desde el cual descargará una copia de sí mismo, en la forma de archivo compuesto de 4 o 5 dígitos, seguidos de la cadena _up.exe.

Crea en el directorio raíz de C:\ el archivo Win2.log, en el cual almacena la cantidad de sistemas remotos que el sistema pudo infectar, además de la dirección IP del sistema últimamente atacado.    

Si encuentra un sistema vulnerable, que no haya sido actualizado, el gusano envía un paquete especialmente diseñado para producir el desbordamiento del buffer en el archivo LSASS.EXE, el mismo que colapsará y será necesario re-iniciar el sistema. El sistema muestra esta caja de diálogo:

La información y parche para esta vulnerabilidad se puede leer y descargar desde este enlace:

Microsoft Security Bulletin MS04-011

Los payloads de este gusano/troyano/backdoor son los siguientes:

PER ANTIVIRUS® versiones 8.8 con registro de virus al 25 de Agosto del 2004 detecta y elimina  eficientemente este gusano/backdoor. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS