El gusano Sasser

Octubre 2017

Introducción al virus Sasser

El virus Sasser (también conocido como W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b o Win32.Sasser) apareció en mayo de 2004 y es un virus que explota un agujero de seguridad de LSASS (Autoridad de seguridad local), que corresponde al archivo ejecutable lsass.exe) en Windows. La aparición del primer virus en explotar la falla de seguridad en LSASS de Windows se produjo apenas dos semanas después de que se publicara la falla y se lanzaran los primeros parches correctivos. Windows NT 4.0, 2000, XP y (en menor grado) Windows Server 2003 están todos afectados.

Cómo trabaja el virus

El virus Sasser está programado para ejecutar 128 procesos (1024 para la variante SasserC) que analizan una cantidad de direcciones IP aleatorias que buscan sistemas vulnerables a la falla LSASS en el puerto 455/TCP.

El virus instala un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo.

Después, cuando encuentra un equipo vulnerable, el gusano abre un shell remoto en el equipo (en el puerto TCO 9996) y hace que el equipo remoto descargue una copia del gusano (denominada avserve.exe o avserve2.exe para la variante Sasser.B) en el directorio de Windows.

Una vez que se descargó el archivo, el virus crea un archivo llamado win.log (o win2.log para la variante Sasser.B) en el directorio c:\ que registra la cantidad de equipos que pueden estar infectados. A continuación, crea entradas en el registro para reiniciarse cada vez que el equipo se reinicie:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe
    o
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve.exe -> C:\%WINDIR%\avserve.exe




El virus ejecuta "AbortSystemShutdown" para evitar que el usuario u otros virus reinicien el equipo (o lo desactiven).

Síntomas de infección

Explotar la vulnerabilidad de LSASS provoca algunos errores en los equipos afectados, los cuales están relacionados con el cierre de los servicios LSASS (proceso lsass.exe). Los sistemas vulnerables tienen los siguientes síntomas:

  • Reinicios no deseados, en los que el sistema muestra el mensaje:
    Cierre del sistema iniciado por Autoridad/SistemaEl proceso del sistema: C:\WINDOWS\system32\Isass.exefinalizado de manera inesperada con código de estado 128. 
  • Tráfico de red en puertos TCP 445, 5554 y 9996,
  • Cierre repentino de "LSASS.EXE" con un mensaje de error que dice:
    lsass.exe - error de aplicación

Cómo eliminar el virus

Para eliminar el gusano Sasser, el mejor método es, en primer lugar, proteger el sistema mediante la activación del firewall. En Windows XP, dirigirse a

Menú Inicio > Configuración > Panel de control > Conexiones de red
Después, hacer clic con el botón derecho del ratón en la conexión a Internet y hacer clic en Propiedades.Seleccionar la ficha "Opciones avanzadas", después marcar la casilla "Proteger mi equipo y mi red limitando o impidiendo el acceso al mismo desde Internet" y aplicarla al hacer clic en Aceptar.

A continuación, se debería actualizar el sistema, ya sea mediante el uso de Windows Update o bien bajando e instalando el parche que se adecue a su sistema operativo:




Por último, se puede desinfectar el sistema con el kit de desinfección:
Descargue el kit de desinfección

Además, teniendo en cuenta que el virus se dispersa mediante el sistema de red de Microsoft Windows, se recomienda instalar un firewall personal en los equipos que están conectados a Internet y también filtrar puertos TCP/445, TCP/5554 y TCP/9996.

Más información acerca del virus

Consulta también


The Sasser worm
The Sasser worm
Le ver Sasser
Le ver Sasser
Il worm Sasser
Il worm Sasser
O verme Sasser
O verme Sasser
Última actualización: 17 de octubre de 2016 a las 11:32 por Carlos-vialfa.
El documento «El gusano Sasser» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.