Sasser es un gusano informático que afecta a los equipos que ejecutan versiones vulnerables de los sistemas operativos de Microsoft Windows XP y Windows 2000 . Sasser se propaga explotando el sistema a través de un puerto vulnerable . Por lo tanto, es particularmente virulento porque puede propagarse sin la intervención del usuario, pero también se detiene fácilmente mediante un firewall configurado correctamente o descargando actualizaciones del sistema desde Windows Update . El agujero específico de las vulnerabilidades de Sasser está documentado por Microsoft en su MS04-011.boletín, para el que se había lanzado un parche diecisiete días antes. La experiencia más característica del gusano es el temporizador de apagado que aparece debido a que el gusano bloquea LSASS .
Nombre técnico |
|
---|---|
Tipo | Gusano |
Autor (es) | Sven Jaschan |
Sistema (s) operativo (s) afectado (s) | Windows 2000 , Windows XP |
Historia y efectos
Sasser fue creado el 30 de abril de 2004. Este gusano se llamó Sasser porque se propaga explotando un desbordamiento de búfer en el componente conocido como LSASS ( Servicio de Subsistema de Autoridad de Seguridad Local ) en los sistemas operativos afectados. El gusano escanea diferentes rangos de direcciones IP y se conecta a las computadoras de las víctimas principalmente a través del puerto TCP 445. El análisis de Microsoft del gusano indica que también puede propagarse a través del puerto 139. Varias variantes llamadas Sasser.B , Sasser.C y Sasser.D apareció en unos días (con el original llamado Sasser.A). Microsoft corrigió la vulnerabilidad LSASS en la entrega de abril de 2004 de sus paquetes de seguridad mensuales, antes del lanzamiento del gusano. Algunos especialistas en tecnología han especulado que el escritor del gusano realizó ingeniería inversa del parche para descubrir la vulnerabilidad, que abriría millones de computadoras cuyo sistema operativo no se había actualizado con la actualización de seguridad. [ cita requerida ]
Los efectos de Sasser incluyen la agencia de noticias Agence France-Presse (AFP), que tiene todas sus comunicaciones por satélite bloqueados durante horas y el de EE.UU. compañía aérea Delta Air Lines tener que cancelar varios vuelos transatlánticos, ya que sus sistemas informáticos habían sido inundado por el gusano. La compañía de seguros nórdica If y sus propietarios finlandeses Sampo Bank se paralizaron por completo y tuvieron que cerrar sus 130 oficinas en Finlandia . La Guardia Costera británica tuvo su servicio de mapas electrónicos desactivado durante unas horas, y Goldman Sachs , Deutsche Post y la Comisión Europea también tuvieron problemas con el gusano. El departamento de rayos X del Hospital de la Universidad de Lund tenía todas sus máquinas de rayos X de cuatro capas desactivadas durante varias horas y tuvo que redirigir a los pacientes de rayos X de emergencia a un hospital cercano. La Universidad de Missouri se vio obligada a "desconectar" su red de Internet en respuesta al gusano.
Autor
El 7 de mayo de 2004, el alemán Sven Jaschan , de 18 años, de Rotenburg , Baja Sajonia , entonces estudiante de una escuela técnica, fue arrestado por escribir el gusano. Las autoridades alemanas fueron llevadas a Jaschan en parte debido a la información obtenida en respuesta a una oferta de recompensa de Microsoft de 250.000 dólares.
Uno de los amigos de Jaschan le había informado a Microsoft que su amigo había creado el gusano. Además, reveló que no solo Sasser, sino también Netsky.AC, una variante del gusano Netsky , fue su creación. Se descubrió que otra variación de Sasser, Sasser.E , circulaba poco después del arresto. Fue la única variación que intentó eliminar otros gusanos de la computadora infectada, al igual que lo hace Netsky.
Jaschan fue juzgado cuando era menor de edad porque los tribunales alemanes determinaron que creó el gusano antes de los 18 años. El gusano en sí había sido liberado cuando cumplió 18 años (29 de abril de 2004). Sven Jaschan fue declarado culpable de sabotaje informático y alteración ilegal de datos. El viernes 8 de julio de 2005, recibió una sentencia condicional de 21 meses.
Efectos secundarios
Una indicación de la infección del gusano en una PC determinada es la existencia de los archivos C:\win.log
, C:\win2.log
o C:\WINDOWS\avserve2.exe
en el disco duro de la PC, la ftp.exe
ejecución aleatoria y el 100% del uso de la CPU, así como bloqueos aparentemente aleatorios con LSA Shell (Versión de exportación) causados por un código defectuoso. utilizado en el gusano. El síntoma más característico del gusano es el temporizador de apagado que aparece debido a que el gusano bloquea LSASS.exe.
Soluciones alternativas
La secuencia de apagado se puede abortar presionando inicio y usando el comando Ejecutar para ingresar shutdown -a
. Esto aborta el apagado del sistema para que el usuario pueda continuar con lo que estaba haciendo. El archivo shutdown.exe no está disponible de forma predeterminada en Windows 2000, pero se puede instalar desde el kit de recursos de Windows 2000. Está disponible en Windows XP. Una segunda opción para evitar que el gusano apague una computadora es cambiar la hora y / o la fecha en su reloj a una anterior; el tiempo de apagado se moverá tan lejos en el futuro como el reloj se retrasó.
Ver también
- Blaster (gusano informático)
- Nachia (gusano informático)
- BlueKeep (vulnerabilidad de seguridad)
- Cronología de virus y gusanos informáticos notables
enlaces externos
- Boletín de seguridad de Microsoft: MS04-011
- Puede - 2003-0533
- Identificación de Bugtraq 10108
- Lea aquí cómo puede proteger su PC (página de seguridad de Microsoft) : incluye enlaces a las páginas de información de las principales empresas antivirus.
- Nuevo gusano de Windows suelto (artículo de Slashdot)
- Informe sobre los efectos del gusano de la BBC
- German admite haber creado a Sasser (BBC News)
- Creador de Sasser evita la pena de cárcel (BBC News)