El virus Sasser apareció en mayo de 2004 y es un virus que explota un agujero de seguridad de LSASS (autoridad de seguridad local) en Windows.
El virus Sasser está programado para ejecutar 128 procesos que analizan una cantidad de direcciones IP aleatorias que buscan sistemas vulnerables al fallo LSASS en el puerto 455/TCP.
El virus instala un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo.
Después, cuando encuentra un equipo vulnerable, el gusano abre un shell remoto en el equipo (en el puerto TCO 9996) y hace que el equipo remoto descargue una copia del gusano (denominada "avserve.exe") en el directorio de Windows.
Una vez que se descargó el archivo, el virus crea un archivo llamado "win.log" en el directorio c:/ que registra la cantidad de equipos que pueden estar infectados. A continuación crea entradas en el registro para reiniciarse cada vez que el equipo se reinicie.
El virus ejecuta "AbortSystemShutdown" para evitar que el usuario u otros virus reinicien el equipo (o lo desactiven).
Explotar la vulnerabilidad de LSASS provoca algunos errores en los equipos afectados, los cuales están relacionados con el cierre de los servicios LSASS (proceso "lsass.exe"). Los sistemas vulnerables tienen los siguientes síntomas:
-Reinicios no deseados.
-Tráfico de red en puertos TCP 445, 5554 y 9996.
-Cierre repentino de "lsass.exe".
Para eliminar el gusano Sasser, el mejor método es, en primer lugar, proteger el sistema mediante la activación del firewall.
A continuación, se debería actualizar el sistema, ya sea mediante el uso de Windows Update o bien bajando e instalando el parche que se adecue al sistema operativo.
Por último, se puede desinfectar el sistema con el kit de desinfección.
Además, teniendo en cuenta que el virus se dispersa mediante el sistema de red de Microsoft Windows, se recomienda instalar un firewall personal en los equipos que están conectados a internet y también filtrar puertos TCP/445, TCP/5554 y TCP/9996.
Se estima que este virus causó daños por valor de 10 millones de dólares. Entre sus "hazañas" más sonadas están la cancelación de vuelos de numerosas compañías aéreas y la interrupción de comunicaciones vía satélite de algunas agencias francesas.
