Virus y Troyanos

Como cabía esperar, ya se ha codificado un virus que se apoya en la vulnerabilidad que Microsoft reportó hace sólo unos días y que afecta a todos los usuarios de Windows excepto a los que trabajen con versiones 9x y Me. Existe una estrecha relación entre Sasser y Blaster tanto en formas como en fondo, por lo que se teme una epidemia como la que causó (y sigue causando) este último.

02-05-2004 - Sasser no es un virus cualquiera. No se propaga por correo sino que accede directamente a un puerto del usuario sin necesidad de ninguna acción por parte de éste. El simple hecho de estar conectado a Internet ya predispone al equipo para ser infectado. Su forma de actuar en este sentido es idéntica a la de Blaster, aparecido en agosto de 2003 y activo hasta estos días, nueve meses después.

Otra similitud entre Sasser y Blaster es que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), que Microsoft hacía pública el pasado martes día trece de abril, publicando el parche correspondiente. Blaster se detectó un mes después de que Microsoft hiciese pública otra vulnerabilidad referida al protocolo RPC y de la que también se disponía de parche corrector.

Este virus se temía y esperaba desde hace semanas. Ya a mediados de abril nos hacíamos eco de una preocupante noticia que saltaba a los foros especializados cuando se hizo pública la vulnerabilidad en LSASS: "Lo que ha terminado de alarmar a los expertos, es la certeza de que código automático capaz de aprovechar dos de esas vulnerabilidades ha sido hecho público en Internet. Esto supone que aficionados sin escrúpulos que tengan acceso al programa, pueden aprovecharlo para atacar sistemas o, peor aún, crear nuevos gusanos y virus capaces de ejecutarse en los ordenadores gracias a la vulnerabilidad. Esto mismo ocurrió con el desgraciadamente popular virus Blaster"

Sasser, además de propagarse rápidamente y tener ya una segunda versión, instala una puerta trasera en el sistema, lo que permite a cualquiera tener acceso libre a los recursos de la máquina.

Durante el primer fin de semana de mayo se ha detectado gran actividad de este nuevo gusano, que se espera aumente con la llegada de los días laborables cuando usuarios de empresas y grandes redes conectan sus equipos a la Red.

Más información y referencias:

Parche para solucionar la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm

Exploits para los nuevos fallos de Microsoft.
http://www.forzis.com/news/noticias.php?cod_noticia=113

Sergio de los Santos
http://www.forzis.com