El gusano Sasser aprovecha una vulnerabilidad de Windows para extenderse
Un nuevo virus ha empezado a afectar los ordenadores y sistemas de todo el mundo. El gusano Sasser.A se ha detectado este fin de semana en Europa, Asia y Estados Unidos.
Sasser.A se propaga buscando direcciones IP aleatoriamente y aprovechando una vulnerabilidad de desbordamiento de buffer en los sistemas Windows. Microsoft había informado recientemente de este agujero de seguridad en Local Security Authority Subsystem Service (LSASS), que es un desbordamiento de buffer que permite la ejecución remota de código malicioso, con lo que un intruso puede controlar el sistema afectado.
El gusano Sasser escanea direcciones IP aleatoriamente en busca de sistemas vulnerables, y cuando encuentra una, el código malicioso envía un paquete diseñado para producir un desbordamiento de buffer en LSASS.EXE, que causa un bloqueo del programa y obliga a reiniciar Windows.
El resultado del desbordamiento de Sasser.A permite que el código malicioso deje accesible el puerto TCP 9996 para un ataque externo. El gusano crea entonces el fichero CMD.FTP que contiene instrucciones para que el sistema vulnerable descargue y ejecute una copia de Sasser vía FTP. Entonces, el host infectado abre el puerto TCP 5554 para que acepte cualquier petición FTP desde los sistemas remotos afectados.
Sasser.A llega en un archivo adjunto de 16 KB, y afecta a las plataformas Windows 95, 98, ME, NT, 2000 y NT.
Por el momento, Trend Micro ha catalogado el gusano Sasser como una alerta de riesgo medio.
