Sasser es un gusano informático que afecta a los equipos que ejecutan versiones vulnerables de los sistemas operativos Microsoft Windows XP y Windows 2000. Sasser se propaga explotando el sistema a través de un puerto vulnerable . Por lo tanto, es particularmente virulento en el sentido de que puede propagarse sin la intervención del usuario, pero también se detiene fácilmente mediante un firewall configurado correctamente o descargando actualizaciones del sistema desde Windows Update . El agujero específico que explota Sasser está documentado por Microsoft en su boletín MS04-011, para el que se había publicado un parche diecisiete días antes. [1] La experiencia más característica del gusano es el temporizador de apagado que aparece debido a que el gusano bloquea LSASS .
Sasser fue creado el 30 de abril de 2004. [2] Este gusano recibió el nombre de Sasser porque se propaga explotando un desbordamiento de búfer en el componente conocido como LSASS ( Local Security Authority Subsystem Service ) en los sistemas operativos afectados. Según un informe de eEye Digital Security publicado el 13 de abril de 2004, este desbordamiento de búfer se basa en una llamada API aparentemente obsoleta a Microsoft Active Directory, que permite consultas remotas sin control y bloquea LSASS.exe si se le proporciona una cadena larga. [3] Una vez en una máquina, el gusano escanea diferentes rangos de direcciones IP y se conecta a las computadoras de las víctimas principalmente a través del puerto TCP 445. Si se encuentra una instalación vulnerable de XP o 2000, el gusano utiliza su propio servidor FTP alojado en máquinas previamente infectadas para descargarse en el host recientemente comprometido. El análisis del gusano realizado por Microsoft indica que también puede propagarse a través del puerto 139. En cuestión de días aparecieron varias variantes llamadas Sasser.B , Sasser.C y Sasser.D (la original se llamaba Sasser.A). La vulnerabilidad LSASS fue parcheada por Microsoft en la entrega de abril de 2004 de sus paquetes de seguridad mensuales, antes del lanzamiento del gusano. Algunos especialistas en tecnología han especulado que el creador del gusano realizó ingeniería inversa del parche para descubrir la vulnerabilidad, lo que abriría millones de computadoras cuyo sistema operativo no había sido actualizado con la actualización de seguridad. [4]
Los efectos de Sasser incluyeron que la agencia de noticias Agence France-Presse (AFP) tuviera todas sus comunicaciones por satélite bloqueadas durante horas y que la compañía aérea estadounidense Delta Air Lines tuviera que cancelar varios vuelos transatlánticos porque sus sistemas informáticos habían sido inundados por el gusano. La compañía nórdica de seguros If y sus propietarios finlandeses Sampo Bank se paralizaron por completo y tuvieron que cerrar sus 130 oficinas en Finlandia . La Guardia Costera británica tuvo su servicio de cartografía electrónica desactivado durante unas horas, y Goldman Sachs , Deutsche Post y la Comisión Europea también tuvieron problemas con el gusano. El departamento de rayos X del Hospital Universitario de Lund tuvo todas sus máquinas de rayos X de cuatro capas desactivadas durante varias horas y tuvo que redirigir a los pacientes de rayos X de emergencia a un hospital cercano.
El 7 de mayo de 2004, un alemán de 18 años llamado Sven Jaschan , de Rotenburg , Baja Sajonia , que en aquel entonces estudiaba en una escuela técnica, fue arrestado por crear el gusano. Las autoridades alemanas llegaron a Jaschan en parte gracias a la información obtenida en respuesta a una recompensa ofrecida por Microsoft de 250.000 dólares.
Uno de los amigos de Jaschan había informado a Microsoft de que su amigo había creado el gusano. Además, reveló que no sólo Sasser, sino también Netsky.AC, una variante del gusano Netsky , era su creación. Poco después del arresto se descubrió que circulaba otra variante de Sasser, Sasser.E . Era la única variante que intentaba eliminar otros gusanos del ordenador infectado, de forma muy similar a como lo hace Netsky.
Jaschan fue juzgado como menor de edad, ya que los tribunales alemanes determinaron que había creado el gusano antes de cumplir los 18 años. El gusano había sido lanzado el día de su 18º cumpleaños (29 de abril de 2004). Sven Jaschan fue declarado culpable de sabotaje informático y alteración ilegal de datos. El viernes 8 de julio de 2005 recibió una sentencia de 21 meses en suspenso.
Un indicio de que el gusano ha infectado un PC determinado es la existencia de archivos C:\win.log. C:\win2.logo C:\WINDOWS\avserve2.exeen el disco duro del PC, su ftp.exeejecución aleatoria y el uso del 100% de la CPU, así como fallos aparentemente aleatorios de LSA Shell (versión de exportación) causados por un código defectuoso utilizado en el gusano. El síntoma más característico del gusano es el temporizador de apagado que aparece debido al bloqueo del programa LSASS.exe por parte del gusano.
La secuencia de apagado se puede interrumpir presionando Inicio y usando el comando Ejecutar para ingresar shutdown /a. Esto cancela el apagado del sistema para que el usuario pueda continuar con lo que estaba haciendo. El archivo shutting.exe no está disponible de manera predeterminada en Windows 2000, pero se puede instalar desde el kit de recursos de Windows 2000. Está disponible en Windows XP. Una segunda opción para evitar que el gusano apague una computadora es cambiar la hora y/o fecha en su reloj a una fecha anterior; la hora de apagado se moverá hacia el futuro tanto como se haya retrasado el reloj.
El gusano Sasser se puede eliminar presionando el botón de inicio y usando el comando Ejecutarshutdown /a para ingresar . Esto abortará el apagado causado por la terminación de lsass.exe, lo que le dará al usuario más tiempo para eliminar el gusano. El gusano se puede eliminar ejecutando regedit.exey navegando hasta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Allí, el usuario debe eliminar la avserve2.execadena. A continuación, el usuario debe terminar avserve2.exeen el administrador de tareas. A continuación, el usuario debe navegar hasta C:\y eliminar win2.log. Finalmente, el usuario debe navegar hasta C:\Windowsy eliminar avserve2.exey reiniciar. Después de un reinicio, la PC del usuario ya no estará infectada con Sasser.