¿Quién no recuerda aquella famosa ventana en Windows XP que nos reiniciaba el ordenador mediante una cuenta atrás sin que pudiéramos hacer nada?
Hoy os presentamos al gusano Sasser, virus informático que afectó a todo tipo de máquinas con sistemas operativos basados en Windows XP y Windows 2000. Sasser se caracterizó por su virulencia y facilidad para propagarse sin necesidad de intervención por parte del usuario.
Las primeras noticias que se tuvo de Sasser se dieron en Abril de 2004. Este virus comenzó a distribuirse a través de una vulnerabilidad de desbordamiento de búfer en un componente llamado LSASS ubicado en los sistemas operativos de Microsoft.
En un primer momento el virus informático escaneaba diferentes rangos de IP y accedía a ellas mediante el puerto 445 y 139 TCP/IP.
Una vez dentro de las maquinas, instalaba un servidor FTP para que otros equipos infectados pudieran conectarse y descargarlo. Después de encontrar un equipo vulnerable, el gusano abría una shell remota en el equipo, descargaba el virus y lo guardara en la carpeta Windows. Tras descargar el archivo, el gusano creaba un fichero llamado win.log donde almacenaba los equipos que podían estar infectados. Por último, creaba varias entradas en el registro para llevar a cabo el reinicio de las maquinas.
Las primeras manifestaciones que hacían pensar que Sasser pudiera estar alojado en un equipo eran reinicios aleatorios con el fichero LSASS.EXE como responsable. Otra pista que nos podía indicar que el gusano estaba en nuestro ordenador era encontrar ficheros en el disco con alguno de estos nombres c:\WIN.LOG o C:\WIN2.LOG o ver trafico sospechoso por los puertos 445,5554 y 9996.
Sasser llego a afectar a varias compañías y organizaciones, entre las que cabe destacar a la agencia de noticias Agence France Presse y la compañía de vuelos Delta Air Lines, en esta última, la infección fue tan grande que muchos de sus satélites fueron inhabilitados durante horas haciendo que varios vuelos se cancelaran.
Desde un principio siempre se creyó que este virus fue creado en Rusia por la misma persona que creo Blaster o Lovsan, pero en el año 2004 un estudiante llamado Sven Jaschan fue detenido por la creación del virus. Esta detención se llevó a cabo debido a la información que Sven reveló ante una generosa oferta que Microsoft presentó. Sven fue tratado como menor por las autoridades alemanas debido a que se determinó que el gusano fue creado antes de que cumpliera 18 años.
Cómo protegerte de Sasser
Según Microsoft uno de los mejores métodos para evitar la infección de Sasser era la activación y configuración de un firewall en los sistemas.
Para los equipos que ya estaban infectados, lo más recomendable para eliminar el gusano era activar la casilla “Proteger mi equipo y mi red limitando el acceso al mismo desde internet” dentro de las opciones /Inicio/Configuración/Panel de Control/Conexiones de red, actualizar el sistema mediante Windows Update y esperar a que el parche de Microsoft se instalara correctamente.
Microsoft recordara ese Mayo de 2004 debido al gran dolor de cabeza que le provocó este virus, fueron hasta 6 variantes las que se descubrieron de Sasser en la red (Sasser.A – Sasser.F).
Técnico superior en administración de sistemas informáticos / Certificado Cisco CCNA / Auditor de seguridad informática /