Apresentação do vírus Sasser

Aparecido em Maio de 2004, o vírus Sasser (conhecido igualmente sob os nomes W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) é um vírus que explora uma falha do serviço LSASS (Local Security Authority Subsystem Service, correspondendo ao realizável lsass.exel) do Windows. O aparecimento do primeiro vírus que explora a falha do serviço LSASS de Windows teve lugar logo duas semanas após a publicação da falha e a disponibilização das primeiras correcções. Os sistemas afectados são os sistemas Windows NT 4.0,2000, XP e, em menor proporção, o Windows Server 2003.

Acção do vírus

O verme Sasser está programado de maneira a lançar 128 processos (1024, no caso da alternativa SasserC) encarregados de varrer um intervalo de endereços IP aleatório à procura de sistemas vulneráveis à falha LSASS na porta 445/TCP.

O vírus instala um servidor FTP na porta 5554 para o seu download ficar disponível para os outros computadores infetados,

Seguidamente, quando uma máquina vulnerável é encontrada, o verme abre o shell distante na máquina (na porta TCP 9996), e força a máquina distante a fazer o download de uma cópia do verme (chamada avserve.exe ou avserve2.exe para a alternativa Sasser.B) no directório de Windows.

Uma vez o ficheiro descarregado, cria um ficheiro nomeado win.log (ou win2.log para a alternativa Sasser.B) no directório c:\ a fim de registar o número de máquinas que conseguiu infectar. Seguidamente, cria entradas na base de registo a fim de se relançar automaticamente a cada reinício:

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
     avserve.exe -> C:\%WINDIR%\avserve.exe

O vírus apela à função “AbortSystemShutdown” a fim de impedir o reinício (ou a sua desactivação) pelo utilizador ou outros vírus,

Sintomas da infecção

A exploração da vulnerabilidade LSASS provoca diversos disfuncionamentos nos sistemas afectados, vinculados à paragem do serviço LSASS (processos lsass.exe). Os sistemas vulneráveis apresentam os sintomas seguintes:

• Reinícios intempestivos, o sistema mostra a mensagem seguinte:

  Paragem do sistema iniciada por Autoridade/System

• Tráfego rede nas portas TCP 445,5554 e 9996,
• paragem brutal “de LSASS.EXE” com uma janela de erro que diz:

  lsass.exe - application error

Erradicar o vírus

Para erradicar o verme Sasser, o melhor método é, em primeiro lugar, proteger o sistema activando o firewall. No Windows XP basta ir a

Menu Iniciar > Painel de configuração > Conexões rede

Clique seguidamente com o botão direito na conexão ligada à Internet, seguidamente clique em Propriedades. Seleccione o separador “Parâmetros avançados”, seguidamente assinale o compartimento “proteger o meu computador e a rede limitando ou proibindo o acesso a este computador a partir da Internet", valide clicando em OK.

Seguidamente é indispensável actualizar o sistema com o serviço Windows Update ou actualizando o seu sistema com o patch correspondente de acordo com o seu sistema de exploração:

• Patchs correctifs pour Windows 2000/XP/2003

Pode, por último, desinfectar o sistema com o conjunto de desinfecção seguinte:
Fazer o download do conjunto de desinfecção

Por outro lado, na medida em que o vírus se propaga através da rede, é aconselhável instalar um firewall pessoal nas máquinas ligadas à Internet e que filtrem as ports tcp/445, tcp/5554 e tcp/9996.

Mais informações sobre o vírus

• Nai
• F-Secure
• Microsoft
• Sophos
• Symantec
• Symantec - Outil de désinfection
• Secuser (Sasser)
• Secuser (falha LSASS)