El Gusano Sasser

Sasser, también conocido con los nombres  W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b o Win32.Sasser. Es un tipo de gusano informático que afectaba a equipos con sistemas operativos Windows 2000 y Windows XP, pero únicamente a los que tenían una determinada vulnerabilidad.

Este gusano data de entre Abril y Mayo de 2004 y como hemos indicado. Se aprovechaba de una vulnerabilidad existente de desbordamiento de buffer en un proceso que llama LSASS (Local Security Authority Subsystem), correspondiente al ejecutable lsass.exe.

Al tratarse de un gusano, tenía la habilidad de propagarse por los equipos sin la necesidad de que nadie interviniera. Es decir, no hacía falta introducirlo a través de unidades extraíbles, por ejemplo.

¿Cómo se propagaba el gusano Sasser?

Este gusano realizaba un escaneo a determinados rangos de IP e intentaba acceder a estas, normalmente a través de los puertos 445 TCP y 139 TCP. 

Cuando conseguía entrar en una máquina, el gusano instalaba un servidor FTP. Usualmente, utilizaba en el puerto 5554, con el fin de que otras máquinas que estuviesen infectadas pudieran conectarse y descargar el gusano. De esta forma, el gusano se podía propagar mucho más rápidamente. 

Cuando se encontraba una máquina vulnerable, como hemos comentado, se descargaba una copia del gusano con el nombre de avserve.exe. Además, una vez realizada la infección, el gusano creaba un archivo llamado win.log o win2.log, dependiendo de la variante, en el directorio c:\, donde se registraba la cantidad de máquinas que podían estar infectadas. 

Después de esto, el gusano creaba una serie de entradas en el registro del sistema, con el objetivo de reiniciar el sistema operativo, sin que el usuario o dueño del dispositivo pudiese hacer nada para remediarlo. Las entradas en el registro eran las siguientes:

“HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe” 

“HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve.exe -> C:\%WINDIR%\avserve.exe”

¿Qué hacía el gusano Sasser?

A nivel de usuario, este lo único que veía a los pocos segundos de iniciar el sistema, es la ventana que indicaba que el ordenador se iba a apagar. 

Además se mostraba una cuenta atrás, indicando el tiempo que restaba para que esto ocurriese, junto con el mensaje “El proceso del sistema “C:\WINDOWS\system32\lsass.exe” ha finalizado inesperadamente”.

Gusano Sasser

El gusano Sasser fue un auténtico incordio, ya que nuestros equipos no paraban de apagarse transcurrido el tiempo indicado en la ventana anterior. 

Como workaround, lo que solía hacerse era, que cuando apareciese la ventana con la cuenta atrás, antes de que terminase el tiempo, cambiar la fecha del sistema indicando que hoy es otro día anterior. Si retrasábamos la fecha, la cuenta atrás mostraba mucho más tiempo para el apagado del sistema. 

No obstante, esto no solucionaba el problema, pero nos permitía seguir trabajando en el equipo con la ventana apareciendo, y poder intentar solucionar el problema.

También se vieron afectadas algunas compañías por este gusano, con lo que evidentemente los daños fueron mayores. Recuerdo por ejemplo la infección a la compañía Delta Air Lines, que provocó que algunos de sus satélites fuesen inhabilitados durante horas, y por supuesto retrasos o cancelaciones de algunos de sus vuelos. 

Por todo ello, el gusano Sasser fue nombre uno de los seis malware peores de la historia, ya que consiguió interrumpir, además, sistemas bancarios, aerolíneas y la guardia costera británica.

¿Quién desarrolló el malware Sasser?

Durante mucho tiempo, la atribución de este gusano fue a Rusia, pero tiempo después se descubrió que en realidad se trató de “Sven Jaschan” un estudiante alemán. Sven nació el 29 de abril de 1986 en el pueblo de Waffensen. Fue detenido en 2004 por la creación del gusano Sasser.

Sven Jaschan, y su gusano Sasser, infecto a cientos de miles de ordenadores con tan solo 17 años. Según él, Sasser solo tenía como fin ayudar al negocio de sus padres. El negocio familiar basaba su principal actividad en el soporte a equipos informáticos.

Fue arrestado en 2004 después de que Microsoft recibiese un “soplo” de alguien que buscaba una recompensa por parte de Microsoft.

¿Cómo protegerse del gusano Sasser?

Según se investigó, la mejor forma de prevenir o de protegerse ante este gusano era el uso de un firewall en los sistemas. De esta forma se filtraba el tráfico de los puertos 445/TCP, 5554/TCP y 9996/TCP.

Si ya estabas infectado, ¿Cómo solucionar el problema?

Para los equipos que ya estuviesen infectados por el gusano Sasser lo más efectivo era activar la opción de proteger el quipo y la red limitando el acceso al mismo desde internet, que se podía activar dentro de las opciones de conexiones de red. 

Además, era necesario actualizar el sistema mediante windows update, donde se podía descargar el parche que publicó Microsoft que eliminaba el gusano por completo. Este parche fue el “KB841720” que fue incluido dentro del “Microsoft Security Bulletin MS04-011”.

Por otro lado, se podía utilizar una herramienta llamada “Sasser Worm Removal Tool”, que también eliminaba el gusano de nuestros equipos.

¿Sufriste este gusano en tu equipo? ¿Cuál es tu experiencia con él? Déjanos un comentario y cuéntanoslo.

Consulta más artículos dentro de nuestra Biblioteca de Virus y Malware de CiberINseguro.

Salir de la versión móvil