Economía digital | Noticias | 03 MAY 2004

Vulnerabilidad de Windows es aprovechada por el virus Sasser para extenderse

Un nuevo virus ha empezado a afectar los ordenadores y sistemas de todo el mundo. El gusano Sasser.A se ha detectado este fin de semana en Europa, Asia y Estados Unidos.
iWorld
Sasser.A se propaga buscando direcciones IP aleatoriamente y aprovechando una vulnerabilidad de desbordamiento de buffer en los sistemas Windows. Microsoft había informado recientemente de este agujero de seguridad en Local Security Authority Subsystem Service (LSASS), que es un desbordamiento de buffer que permite la ejecución remota de código malicioso, con lo que un intruso puede controlar el sistema afectado.

El gusano Sasser escanea direcciones IP aleatoriamente en busca de sistemas vulnerables, y cuando encuentra una, el código malicioso envía un paquete diseñado para producir un desbordamiento de buffer en LSASS.EXE, que causa un bloqueo del programa y obliga a reiniciar Windows.

El resultado del desbordamiento de Sasser.A permite que el código malicioso deje accesible el puerto TCP 9996 para un ataque externo. El gusano crea entonces el fichero CMD.FTP que contiene instrucciones para que el sistema vulnerable descargue y ejecute una copia de Sasser vía FTP. Entonces, el host infectado abre el puerto TCP 5554 para que acepte cualquier petición FTP desde los sistemas remotos afectados.
Sasser.A llega en un archivo adjunto de 16 KB, y afecta a las plataformas Windows 95, 98, ME, NT, 2000 y NT.

Por el momento, Trend Micro ha catalogado el gusano Sasser como una alerta de riesgo medio.

Panda Antivirus, por su parte, transcurridas ya unas horas de la aparición del gusano, ha calificado a Sasser como riesgo de alerta roja, y estima que puede afectar a unos 300 millones de ordenadores de todo el mundo. De hecho, ya han aparecido dos variantes del virus, y en estos momentos las empresas antivirus hacen frente al gusano Sasser.C. Al igual que otros gusanos, Sasser incluye un mensaje en su código, que en esta ocasión no está dirigido a otros creadores de virus sino a las empresas antivirus. En este mensaje, sus autores bautizan al gusano como Sasser, y afirman ser los mismos creadores de Skynet.V, otro gusano anterior.

Para protegerse correctamente es necesario instalar el parche proporcionado por Microsoft que resuelve la vulnerabilidad de la que hace uso Sasser. www.trendmicro-europe.com
www.pandasoftware.es


Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios