Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

El gusano Sasser, las lecciones no aprendidas
 
VSantivirus No. 1396 Año 8, domingo 2 de mayo de 2004

El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy


Para muchos, parece repetirse la historia del Blaster o Lovsan, y ciertamente hay muchos puntos en común. Primero, ambos se basan en una vulnerabilidad hecha pública después de publicarse el parche que la corrige:

16/07/03 - Microsoft publica el parche para la vulnerabilidad RPC/DCOM (MS03-026)
11/08/03 - Se detecta la primera versión del gusano Blaster (o Lovsan)

13/04/04 - Microsoft publica el parche para la vulnerabilidad LSASS (MS04-011)
01/05/04 - Se detecta la primera versión del gusano Sasser

En ambos casos, es evidente que los usuarios han debido tener el tiempo suficiente para actualizar sus equipos. En el caso del Sasser, el propio Microsoft y sitios de seguridad como el nuestro, publicaron varias veces en las últimas semanas, sendas advertencias de la inminente posibilidad de la aparición de un código malicioso que se aprovecharía de la falla.

Luego del Blaster, podría suponerse que hay una lección aprendida. Pero no es así.

Aunque al comienzo parecían existir algunas dudas respecto al alcance de los fallos provocados por el nuevo gusano en relación al Lovsan, con el correr de las horas puede afirmarse que la cantidad de máquinas infectadas es importante.

Un hecho significativo es el aumento notorio de visitas a nuestro propio Web. En un solo día aumentaron las visitas únicas (por usuario) de un promedio de 30,000 diarias en días hábiles, a un total de casi 60,000 (siendo un sábado y además feriado). Y la página más visualizada es la que describe al gusano Sasser y como eliminarlo.

Por lo pronto, esa primera lección (la de actualizar nuestros sistemas con los parches respectivos), parece claramente reprobada.

Sigamos con las comparaciones. Ambos gusanos utilizan el puerto TCP/445 para "rastrear" a sus víctimas, aunque sean servicios diferentes los afectados.

Después de los ataques provocados por el Blaster, muchos proveedores de Internet empezaron a bloquear el puerto 445. Aunque ciertamente se han evitado con esto muchas más infecciones de las que podrían haber ocurrido, los hechos parecen corroborar que esto no es ningún consuelo debido a la cantidad de infecciones existentes (que además van en aumento).

Y seguramente el próximo primer día hábil de la semana, con el mayor tráfico provocado por los cientos de miles de máquinas encendidas en ambientes corporativos, se producirá un importante pico en las infecciones, teniendo en cuenta además, que este tipo de gusanos infecta por solo conectar una máquina vulnerable a la red, y no es necesario abrir o ejecutar ningún mensaje o adjunto.

La segunda lección (tampoco aprendida), es que un simple cortafuegos (el incorporado por Windows XP o uno de terceros), podría haber evitado la infección, como en el caso del Blaster.

Pero existe otra similitud entre los dos gusanos, y es la forma en que ambos comprometen indirectamente a nuestro sistema. Uno de los mayores problemas con el Blaster, es la vulnerabilidad existente y el exploit que la provoca.

Los piratas informáticos crearon numerosas herramientas que se aprovechaban de ese agujero para implantar cualquier clase de código o realizar cualquier acción en el sistema vulnerable. De este modo, la infección con el gusano funciona en realidad como una señal de alerta.

El gusano en si mismo no es el problema, solo sirve como indicador de que alguien pudo hacer lo que se le antojó en nuestro sistema. De allí que la limpieza básica de una infección provocada por el Blaster, pasa por recomendar una instalación limpia, con formateo incluido.

Esta afirmación, siempre suele generar muchas críticas, a las que casi siempre respondo con una odiosa comparación. Encontrarnos con el Blaster en nuestro sistema y quitarlo, es como descubrir un día en la cocina de nuestra casa a un grupo de terroristas almorzando tranquilamente, y echarlos a las patadas. Eso no soluciona el problema, porque siempre va a existir la posibilidad de que en alguna parte de nuestro hogar, haya quedado una bomba a punto de estallar.

En el caso del Sasser, aunque no hay por el momento evidencias de que existan herramientas que se aprovechen del fallo en el proceso LSASS, si hay dos exploits, y muchos puntos claves a tener en cuenta.

Este gusano crea un shell (una consola de comandos), que puede permitir el ingreso de casi cualquier tipo de instrucción que comprometa a nuestro sistema. También abre un servidor FTP que permite el acceso a cualquier archivo. Y no hay nada que nos asegure que por borrar al Sasser de nuestro sistema, nos libraremos de la posibilidad de exista "una bomba a punto de estallar" en alguna parte de nuestra casa.

Concretamente, no hay forma de saber cuántas nuevas modificaciones del exploit están dando vueltas por Internet, y cuantas formas maliciosas pueden llegar a crearse a partir de las mismas. Por ello, detectar una infección con el gusano Sasser, ameritaría no solo la limpieza del sistema infectado, sino la completa reinstalación del mismo (y posterior actualización de los parches e instalación o activación de un cortafuegos), como única forma de asegurarnos contra las posibles consecuencias.

Cómo seguramente habrán más exámenes, sería muy bueno que la próxima vez tengamos mejor aprendidas las lecciones.


Más información:

Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm

Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS