SANTIAGO: McAfee aumentó a nivel medio la clasificación de riesgo del recientemente descubierto W32/Sasser.worm.d, también conocido como Sasser.d. Esta es la cuarta variante autoejecutable de la familia Sasser que ataca la vulnerabilidad MS04-011 divulgada en abril por Microsoft.
Pablo Aravena, gerente de Ingeniería PreVenta de McAfee Security Chile, señaló que este gusano puede llegar ser casi tan peligroso como la epidemia Mydoom, sobre todo por su característica de autoejecutable. El por qué han aparecido tantas versiones de Sasser se debe a que el código del worm es simple de modificar, al igual que la identificación de las acciones maliciosas que debe realizar (todo esto en código assembler). Su peligrosidad radica en que utiliza una vulnerabilidad de Microsoft y simula la acción de un hacker, tomando control del equipo con privilegio total y, desde ahí, inicia la infección puntualiza.
McAfee AVERT aumentó a nivel medio la clasificación de riesgo debido a la creciente actividad que ha registrado y a su capacidad de moverse sin la necesidad de utilizar el correo electrónico (principal vehículo de distribución de la mayoría de los gusanos recientes anteriores a la familia Sasser), sino mediante conexiones directas entre PC`s en Internet o en ambientes locales. Este nuevo gusano es un programa autoejecutable que se propaga al escanear direcciones IP al azar en busca de sistemas utilizables. A la fecha, McAfee AVERT ha recibido numerosos informes de que el gusano está siendo detenido o que ha infectado a usuarios en varios continentes. La mayoría de estos informes han sido enviados desde EE.UU y Europa.
Aravena explica que si un computador con la vulnerabilidad se conecta a Internet podría contagiarse, si es que lo pesquisa otro PC contagiado cuando esté haciendo el escaneo de direcciones IP en la Red. Por su parte, un usuario infectado no se da cuenta que ha entrado el worm, debido a que utiliza una técnica de hacking y toma el control del equipo. Luego, Sasser.d crea miles de conexiones simultáneas para encontrar equipos cercanos en la red para contaminarlos. De todo este proceso, la víctima experimenta una lentitud de su equipo, ya que el gusano trata de utilizar muchos recursos del PC.
La unidad de soporte de McAfee Security en Chile no ha parado de recibir casos y consultas sobre el malware, por ello, el experto llama a extremar las precauciones frente a este nuevo brote epidémico, utilizando McAfee Desktop Firewall y bloqueando el puerto 445; actualizando el antivirus (VirusScan) e instalando el parche de seguridad de Microsoft correspondiente (enlace al final del artículo).
Síntomas
Sasser.d es un gusano autoejecutable que se propaga al atacar la vulnerabilidad MS04-011 de Microsoft. El objetivo principal del gusano es propagarse a la mayor cantidad de máquinas vulnerables que sea posible mediante el ataque a los sistemas Windows no parchados, lo que le otorga la capacidad de ejecutarse sin que el usuario realice acción alguna. Una vez activado, el gusano se copia a sí mismo en una carpeta del directorio del Sistema Windows y agrega una clave de ejecución de registro que se carga cuando el sistema se inicia. Sasser.d tiene muchas semejanzas con las variantes anteriores de Sasser, sin embargo, Sasser.d se propaga con un nombre de archivo distinto, envía paquetes de eco ICMP como una forma de descubrir a sus víctimas potenciales y crea un shell remoto en el puerto TCP 9995.
Patología
Luego de ejecutarse, Sasser.d escanea las direcciones de IP en el puerto TCP 445 en busca de sistemas utilizables. Cuando encuentra uno, el gusano ataca el sistema vulnerable, creando una línea de comandos y ejecutándola. Esta línea de comandos da instrucciones a la víctima objetivo para que descargue y ejecute el gusano desde el host infectado. A medida que el gusano escanea las direcciones IP al azar, busca puertos TCP sucesivos desde el 1068. También actúa como un servidor FTP en el puerto TCP 5554 y crea un shell remoto en el puerto TCP 9995.
Cura
Para obtener información inmediata y una cura para este gusano, consulte el sitio de McAfee AVERT de Network Associates. McAfee AVERT recomienda a sus clientes que realicen una actualización a los DAT 4357 para seguir contando con protección.
