O verme Sasser

Abril 2015

Apresentação do vírus Sasser

Aparecido em Maio de 2004, o vírus Sasser (conhecido igualmente sob os nomes W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) é um vírus que explora uma falha do serviço LSASS (Local Security Authority Subsystem Service, correspondendo ao realizável lsass.exel) do Windows. O aparecimento do primeiro vírus que explora a falha do serviço LSASS de Windows teve lugar logo duas semanas após a publicação da falha e a disponibilização das primeiras correcções. Os sistemas afectados são os sistemas Windows NT 4.0,2000, XP e, em menor proporção, o Windows Server 2003.

Acção do vírus

O verme Sasser está programado de maneira a lançar 128 processos (1024, no caso da alternativa SasserC) encarregados de varrer um intervalo de endereços IP aleatório à procura de sistemas vulneráveis à falha LSASS na porta 445/TCP.

O vírus instala um servidor FTP na porta 5554 para o seu download ficar disponível para os outros computadores infetados,

Seguidamente, quando uma máquina vulnerável é encontrada, o verme abre o shell distante na máquina (na porta TCP 9996), e força a máquina distante a fazer o download de uma cópia do verme (chamada avserve.exe ou avserve2.exe para a alternativa Sasser.B) no directório de Windows.

Uma vez o ficheiro descarregado, cria um ficheiro nomeado win.log (ou win2.log para a alternativa Sasser.B) no directório c:\ a fim de registar o número de máquinas que conseguiu infectar. Seguidamente, cria entradas na base de registo a fim de se relançar automaticamente a cada reinício:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe

ou
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
     avserve.exe -> C:\%WINDIR%\avserve.exe




O vírus apela à função “AbortSystemShutdown” a fim de impedir o reinício (ou a sua desactivação) pelo utilizador ou outros vírus,

Sintomas da infecção

A exploração da vulnerabilidade LSASS provoca diversos disfuncionamentos nos sistemas afectados, vinculados à paragem do serviço LSASS (processos lsass.exe). Os sistemas vulneráveis apresentam os sintomas seguintes:

  • Reinícios intempestivos, o sistema mostra a mensagem seguinte:
    Paragem do sistema iniciada por Autoridade/System
O processo sistema: C:\WINDOWS\system32\Isass.exe terminou de maneira inesperada com o código de estado 128
  • Tráfego rede nas portas TCP 445,5554 e 9996,
  • paragem brutal “de LSASS.EXE” com uma janela de erro que diz:
    lsass.exe - application error

Erradicar o vírus

Para erradicar o verme Sasser, o melhor método é, em primeiro lugar, proteger o sistema activando o firewall. No Windows XP basta ir a

Menu Iniciar > Painel de configuração > Conexões rede


Clique seguidamente com o botão direito na conexão ligada à Internet, seguidamente clique em Propriedades. Seleccione o separador “Parâmetros avançados”, seguidamente assinale o compartimento “proteger o meu computador e a rede limitando ou proibindo o acesso a este computador a partir da Internet", valide clicando em OK.

Seguidamente é indispensável actualizar o sistema com o serviço Windows Update ou actualizando o seu sistema com o patch correspondente de acordo com o seu sistema de exploração:




Pode, por último, desinfectar o sistema com o conjunto de desinfecção seguinte:
Fazer o download do conjunto de desinfecção


Por outro lado, na medida em que o vírus se propaga através da rede, é aconselhável instalar um firewall pessoal nas máquinas ligadas à Internet e que filtrem as ports tcp/445, tcp/5554 e tcp/9996.

Mais informações sobre o vírus

Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
O-verme-sasser.pdf

A ver igualmente


The Sasser worm
The Sasser worm
El gusano Sasser
El gusano Sasser
Le ver Sasser
Le ver Sasser
Le ver Sasser
Le ver Sasser
Lo worm Sasser
Lo worm Sasser
Este documento, intitulado « O verme Sasser »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.