Gusano Sasser

Sasser es un gusano informático que afecta computadores corriendo versiones vulnerables de Windows XP y Windows 2000. Sasser se distribuye explotando una vulnerabilidad del sistema mediante un puerto vulnerable. Por lo tanto, es particularmente virulento ya que puede propagarse sin intervención del usuario, pero también es fácilmente detenible gracias a un cortafuegos configurado adecuadamente, o descargando actualizaciones desde Windows Update. El agujero de seguridad específico que Sasser explota está documentado por Microsoft en su boletín MS04-011, del cual se lanzó un parche 16 días antes.

Historia y efectos

Las primeras notificaciones de esparcimiento se dieron el 12 de abril de 2004. Este gusano fue llamado Sasser debido a que se distribuye explotando un desbordamiento de búfer en un componente clave llamado LSASS (Local Security Authority Subsystem Service por sus siglas en inglés) en los sistemas operativos afectados. El gusano escanea diferentes rangos de direcciones IP y se conecta a los computadores de las víctimas mediante el puerto TCP/IP 445 principalmente. El análisis del gusano por parte de Microsoft indica también que se distribuye mediante el puerto 139. Muchas variantes llamadas Sasser.B, Sasser.C y Sasser.D han aparecido a los pocos días (en conjunto con Sasser.A). la vulnerabilidad de LSASS fue parchada por Microsoft en abril de 2004 dentro de sus paquetes de seguridad mensuales, previamente al lanzamiento del gusano. Algunos especialistas en tecnología han especulado que el gusano escribe el parche con ingeniería inversa para descubrir la vulnerabilidad, el que puede determinar en millones de computadores si la vulnerabilidad fue resuelta o no. ^{[cita requerida]}

Sasser afectó a diversas compañías y organizaciones importantes como la agencia de noticias Agence France-Presse (AFP) y la compañía aérea Delta Air Lines, inhabilitando sus satélites por horas e impidiendo cancelar vuelos transatlánticos respectivamente. Otras compañías debieron dejar de operar y cerrar sus oficinas. La Universidad de Misuri debió "desconectar" su red de Internet en respuesta a los peligros del gusano.

Autor

Se creía primero que Sasser fue creado en Rusia por la misma persona que creó otro gusano conocido como Blaster (Lovsan o MSBlast) debido a su similitud en el código. Pero el 7 de mayo de 2004, un estudiante de Ciencias de la Computación de 18 años llamado Sven Jaschan fue arrestado por escribir el gusano. Las autoridades alemanas fueron llevadas a Jaschan en parte debido a la información obtenida en respuesta a una oferta generosa de Microsoft de US$250,000.

Uno de los amigos de Jaschan informaron a Microsoft que él creó el gusano. Él reveló que no sólo creó Sasser, sino Netsky.AC (una variante del gusano Netsky worm). Otra variante de Sasser, Sasser.E se encontró en circulación tras su arresto. Esta fue la única variante que intentó eliminar otros gusanos de los computadores infectados, de la misma forma en el que Netsky lo hace.

Jaschan fue tratado como menor de edad debido a que las cortes alemanas determinaron que él creó el gusano antes de que él cumpliera los 18 años. El gusano se lanzó el día de su cumpleaños 18 (el 29 de abril de 2004). El viernes 8 de julio de 2005, recibió una sentencia condicional de 21 meses.

Efectos secundarios

Un indicativo de la infección por parte del gusano es la existencia de un archivo en disco llamado C:\WIN.LOG o C:\WIN2.LOG, así como también caídas del sistema aleatorias, mostrando LSASS.EXE como causante de la falla. El síntoma más notorio es cuando el sistema muestra un contador de reinicio forzado por la falla de LSASS.EXE, causada por el gusano.

Posibles soluciones

La secuencia de apagado puede ser abortada abriendo Inicio>Ejecutar (o presionando las teclas WINDOWS+R), e ingresando el comando shutdown -a. Esto abortará el apagado "programado", permitiendo al usuario continuar trabajando. El ejecutable shutdown.exe no está por defecto en Windows 2000, pero puede ser instalado desde «Windows 2000 resource kit»; shutdown.exe está disponible a partir de Windows XP. Una segunda opción para detener el apagado es cambiando la fecha y hora para poner el reloj en un estado anterior; la programación de apagado se aplazará en el futuro debido al atraso del reloj.

Enlaces externos

• Microsoft Security Bulletin: MS04-011
• CVE: CAN-2003-0533
• Bugtraq ID 10108
• Read here how you can protect your PC (Microsoft Security page) - Includes links to the info pages of major anti-virus companies.
• New Windows Worm on the Loose (Slashdot article)
• Report on the effects of the worm from the BBC
• German admits creating Sasser (BBC News)
• Sasser creator avoids jail term (BBC News)