SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Propagación Media de un nuevo gusano que explota la vulnerabilidad de Microsoft MS04-011
Nombre de virus: W32/Sasser.worm.b
Alias conocidos:
W32/Sasser.b.worm
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: Por explotación de la vulnerabilidad de Microsoft
MS04-011
Activación: Sin
intervención del usuario
Detección: desde
DATS 4356
Motor necesario: desde 4.2.40
Infección actual: Media (Inicial, Media, Elevada)
Este gusano se aprovecha de la vulnerabilidad de Microsoft MS04-011 para propagarse, de esta forma no requiere intervención del usuario. El virus se copia al directorio Windows como avserve2.exe, generando una llave en el registro de sistema para iniciarse en el siguiente arranque:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "avserve2.exe" = C:\WINDOWS\avserve2.exe
El gusano explora direcciones IP al azar, escuchando los sucesivos puertos TCP empezando por 1068. También actúa como un servidor ftp en el puerto 5554, y genera una compartición remota el puerto 9996.
En el directorio raíz de la unidad C:, se genera un fichero con el nombre win2.log, el cual contiene una dirección IP, también el gusano se copia en el directorio de sistema con un nombre formado por números aleatorios de cinco cifras terminando con _up.exe, como por ejemplo 12345_up.exe.
Una causa-efecto de este gusano es que daña el fichero LSSAS.EXE, mostrando el siguiente mensaje de error:
.
causando que reinicie el sistema:
Detección y eliminación
El gusano se controla desde los DAT
4356 , para su eliminación se recomienda ejecutar
nuestra utilidad ELILSA, así como
aplicar los parches de Microsoft arriba indicados.
Instrucciones
para eliminar ataques remotos del gusano, provocando reinicios al arrancar
SATINFO, VIRUSCAN SPAIN SERVICE 03 de Mayo de 2004
