O verme Sasser

Setembro 2017

Apresentação do vírus Sasser

Aparecido em Maio de 2004, o vírus Sasser (conhecido igualmente sob os nomes W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) é um vírus que explora uma falha do serviço LSASS (Local Security Authority Subsystem Service, correspondendo ao realizável lsass.exel) do Windows. O aparecimento do primeiro vírus que explora a falha do serviço LSASS de Windows teve lugar logo duas semanas após a publicação da falha e a disponibilização das primeiras correcções. Os sistemas afectados são os sistemas Windows NT 4.0,2000, XP e, em menor proporção, o Windows Server 2003.

Acção do vírus

O verme Sasser está programado de maneira a lançar 128 processos (1024, no caso da alternativa SasserC) encarregados de varrer um intervalo de endereços IP aleatório à procura de sistemas vulneráveis à falha LSASS na porta 445/TCP.

O vírus instala um servidor FTP na porta 5554 para o seu download ficar disponível para os outros computadores infetados,

Seguidamente, quando uma máquina vulnerável é encontrada, o verme abre o shell distante na máquina (na porta TCP 9996), e força a máquina distante a fazer o download de uma cópia do verme (chamada avserve.exe ou avserve2.exe para a alternativa Sasser.B) no directório de Windows.

Uma vez o ficheiro descarregado, cria um ficheiro nomeado win.log (ou win2.log para a alternativa Sasser.B) no directório c:\ a fim de registar o número de máquinas que conseguiu infectar. Seguidamente, cria entradas na base de registo a fim de se relançar automaticamente a cada reinício:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe

ou
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
     avserve.exe -> C:\%WINDIR%\avserve.exe




O vírus apela à função “AbortSystemShutdown” a fim de impedir o reinício (ou a sua desactivação) pelo utilizador ou outros vírus,

Sintomas da infecção

A exploração da vulnerabilidade LSASS provoca diversos disfuncionamentos nos sistemas afectados, vinculados à paragem do serviço LSASS (processos lsass.exe). Os sistemas vulneráveis apresentam os sintomas seguintes:

  • Reinícios intempestivos, o sistema mostra a mensagem seguinte:
    Paragem do sistema iniciada por Autoridade/System
O processo sistema: C:\WINDOWS\system32\Isass.exe terminou de maneira inesperada com o código de estado 128
  • Tráfego rede nas portas TCP 445,5554 e 9996,
  • paragem brutal “de LSASS.EXE” com uma janela de erro que diz:
    lsass.exe - application error

Erradicar o vírus

Para erradicar o verme Sasser, o melhor método é, em primeiro lugar, proteger o sistema activando o firewall. No Windows XP basta ir a

Menu Iniciar > Painel de configuração > Conexões rede


Clique seguidamente com o botão direito na conexão ligada à Internet, seguidamente clique em Propriedades. Seleccione o separador “Parâmetros avançados”, seguidamente assinale o compartimento “proteger o meu computador e a rede limitando ou proibindo o acesso a este computador a partir da Internet", valide clicando em OK.

Seguidamente é indispensável actualizar o sistema com o serviço Windows Update ou actualizando o seu sistema com o patch correspondente de acordo com o seu sistema de exploração:




Pode, por último, desinfectar o sistema com o conjunto de desinfecção seguinte:
Fazer o download do conjunto de desinfecção


Por outro lado, na medida em que o vírus se propaga através da rede, é aconselhável instalar um firewall pessoal nas máquinas ligadas à Internet e que filtrem as ports tcp/445, tcp/5554 e tcp/9996.

Mais informações sobre o vírus

Veja também


The Sasser worm
The Sasser worm
El gusano Sasser
El gusano Sasser
Le ver Sasser
Le ver Sasser
Il worm Sasser
Il worm Sasser
Última modificação: 2 de outubro de 2009 às 11:50 por owliance.pt_004.
Este documento, intitulado 'O verme Sasser', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.