Worm.Win32.Sasser
Alias:
W32/Sasser.Word, Sasser, WORM_SASSER
Kaspersky Labs. ha informado de la aparición de varias versiones del virus Sasser, de momento se conocen las versiones A, B y C.
Sasser es un gusano que se propaga por la red, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011, este parche puedo encontrarlo en:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Tiene un tamaño de aproximadamente 15KB y se ha comprimido utilizando ZiPAck.
En Windows 2000 puede aparecer una ventana similar a la provocada por el virus Lovesan(Blaster):
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante:
para el apagado: hh:mm:ss
Mensaje:
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.
En Windows XP, puede aparece una ventana con un mensaje muy similar al siguiente:
LSA Shell (Export Version) ha encontrado un problema y debe cerrarse. Sentimos los inconvenientes ocasionados.
Propagación.
Cuando se arranca, el gusano se autoregistra en la siguente clave del registro del sistema.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] avserve2.exe = %WINDIR%\avserve2.exe
El gusano escanea direcciones IP buscando ordenadores que tengan la vulnerabilidad anteriormente descrita. Un ordenador vulnerable lanzará el paquete de commandos “cmd.exe” en el Puerto 9996, lo que hará que acepte comandos que permitan descargar copias del virus.
La descarga se realiza mediante el protocolo FTP.
Desinfección:
Siga los siguientes pasos para proceder a la desinfección del virus Sasser.
Descargue e instale el parche de Microsoft que soluciona este fallo.
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Descargue y ejecute la siguiente utilidad:
Actualice su antivirus ejecutando la tarea KAV Updater y a continuación ejecute la tarea escaner con la opción de "preguntar " en caso de detección de virus.
Cuando detecte algún archivo infectado intente desinfectarlo y si esto no es posible seleccione "borrar", así eliminara cualquier rastro del virus.
Para evitar que le entren virus de este tipo u otros debe mantener su sistema actualizado, para ello acceda al sitio de microsoft y compruebe que lo tiene todas los parches críticos instalados:
http://windowsupdate.microsoft.com
Más de 10 años como Distribuidor Oficial de Kaspersky Lab
