• 19/12/2025
ALERTA

Ficha técnica de Sasser.B

Ficha técnica de Sasser.B
iProfesional | Actualidad |
Por iProfesional
03/05/2004 - 03:00hs
Ficha técnica de Sasser.B

WORM_SASSER.B (Riesgo alto) - Nueva lista de virus 883

Distribuido entre los usuarios: Si

Idioma: Ingles

Plataforma: Windows

Encriptado: No

Tamaño del virus: 15,872 Bytes

Lista de virus que lo detecta: 883 (1.883.00)

Motor de búsqueda que lo detecta: 6.500

Descubierto hace: 1 de Mayo

Tipo de virus: Worm


Destructivo: No


Descripción
El 2 de Mayo del 2004, 10:07 PM (PST), TrendLabs declaró alerta Roja para controlar la dispersión de este código maligno. Varios reportes de infecciones han sido recibidos indicando que este gusano se distribuye por la región de América Latina.

Este gusano explota la vulnerabilidad "Windows LSASS", un buffer overrun que permite la ejecución de código remoto y habilita al atacante a adquirir el control total de los sistemas afectados. Esta vulnerabilidad se discute en las siguientes páginas:


MS04-011_MICROSOFT_WINDOWS Microsoft Security Bulletin MS04-011

Para propagarse, este gusano enví­a paquetes TCP especialmente diseñados al puerto 445 de direcciones IP aleatorias. Este paquete causa un "buffer overrun" en los sistemas vulnerables, resultando en la ejecución de código remoto que abre el puerto 9996. Este gusano le indica al shell remoto que baje una copia del mismo desde la fuente originalmente infectada, usando el puerto 5554 a través de FTP.


Importante: Trend Micro recomienda a los usuarios aplicar el parche crí­tico relacionado con la vulnerabilidad "Windows LSASS", que está disponible en la siguiente dirección de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx


Solución
Importante: Los usuarios de Trend Micro PC-Cillin Internet Security y Network VirusWall deberí­an verificar que sus productos hayan actualizado al pattern 10125 CFW/NVP o superior.


Pólitica de prevencion: Bloqueos de Puertos. Se recomienda a usuarios de OfficeScan y Control Manager bloquear los puertos TCP 5554 y 9996 para prevenir la transferencia del gusano SASSER desde máquinas infectados a máquinas que no tiene el parche de Microsoft aplicado.

Instrucciones de remoción automática
Para remover automáticamente este software maligno de su sistema, por favor utilice el Damage Cleanup Service de Trend Micro.


Descargue la herramienta del siguiente link:
http://www.trendmicro.com/download/dcs.asp, luego descomprí­mala y cópiela a la carpeta de Serverofcscanadmin de su servidor de OfficeScan.


Instrucciones de remoción manual:
Nota: Los siguientes dos procedimientos son aplicables a Windows NT, 2000 y XP. Para sistemas corriendo en Windows 95, 98 y ME, por favor vaya a la sección de "Reiniciando en Modo Seguro".


Identificando el software maligno (para Windows NT, 2000 y XP solamente)
Para remover este software maligno, primero identifique el programa:
1. Escanee su sistema con su antivirus de TrendMicro


2. Anote todos los archivos detectados como WORM_SASSER.B.
Los clientes de Trend Micro necesitan bajar el último pattern antes de escanear sus sistemas. Los demás usuarios de internet pueden usar Housecall, el antivirus gratuito de Trend Micro.
Finalizando el software maligno (para Windows NT, 2000 y XP solamente)
Este procedimiento termina el virus que está corriendo en la memoria. Necesitará el nombre de los archivos detectados anteriormente.


1. Abra el Task Manager de Windows, presione CTRL + SHIFT + ESC, luego haga click en la etiqueta de procesos.


2. En la lista de programas que están corriendo, localice los archivos detectados anteriormente.


3. Seleccione uno de los archivos detectados, luego presione el botón de finalizar proceso.


4. Haga lo mismo para todos los archivos detectados en la lista de procesos en ejecución.


5. Para verificar que el proceso haya sido terminado, cierre el Task Mangaer, y luego vuelva a abrirlo.


6. Cierre el Task Manager. Reiniciando en Modo Seguro (para Windows 95, 98 y ME solamente)

En Windows 95/ME
a. Reinicie su computadora
b. Presione la tecla de CTRL hasta que el menú de inicio de Windows 98 aparezca.
c. Seleccione la opción de modo seguro y luego presione ENTER.
Removiendo las entradas de autoejecución del registro.
Removiendo las entradas de autoejecución del registro previene que este software maligno se ejecute durante la inicialización del sistema.
1. Abra su editor de registro. Para hacer esto, haga clic en Start=>Run, tipee Regedit, luego presione Enter.
2. En el panel de la izquierda, haga doble clic en: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3. En el panel de la derecha, localice y elimine la siguiente o siguientes entradas: avserve2.exe = %Windows%avserve2.exe
(Nota: %Windows% hace referencia a la carpeta de Windows, usualmente C:Windows o C:WINNT)
4. Cierre el editor de Registro.


Nota: Si no puede remover el software maligno de su sistema, reinicie el mismo
Ejecutando el antivirus de Trend Micro. Escanee sus sistema con el antivirus de Trend Micro y elimine todos los archivos detectados como WORM_SASSER.B. Para hacer esto, los clientes de Trend Micro deben descargar el último archivo de pattern y escanear sus sistemas. Otros usuarios de Internet puede usar HouseCall, el antivirus gratis online de Trend Micro.


Aplicando Parches
Descargue los últimos parches. La Información sobre la vulnerabilidad explotada por este software maligno y su correspondiente parche puede encontrarse en: Microsoft Security Bulletin MS04-011


Para soluciones especí­ficas a los productos, por favor dirí­jase a la Solución 19751 del Banco de Soluciones de Trend Micro.
Puede obtener mas información acerca de este virus en:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B


La lista de virus que detecta este código malicioso (883) se encuentra disponible en la siguiente página de Internet:
http://www.trendmicro.com/download/pattern.asp


Recordamos que todos nuestros productos poseen mecanismos para actualizarse en forma automática desde Internet.