SEGURIDAD | Noticias | 03 MAY 2004

Saltan las alarmas por la familia de virus Sasser

Aunque el primer virus de la familia Sasser se detectaba durante el fin de semana, ha sido con la vuelta al trabajo cuando la peligrosidad de este gusano ha aumentado. Además de aumentar su riesgo, se han detectado ya nuevas variantes, por lo que se han disparado las alarmas por la familia de virus Sasser.
Dealer World
Los fabricantes de antivirus y el Centro de Alertas de Antivirus del organismo nacional Red.es han empezado a alertar a todos los usuarios de la propagación de varias versiones del virus Sasser.
Según se ha hecho saber, son los ordenadores cuyo sistema operativo sea Windows 2000 o XP los expuestos a este gusano, especialmente si no tienen el parche para la vulnerabilidad en el servicio LSASS (Local Security Authority Subsystem Service), que está disponible en el boletín de seguridad de Microsoft MS04-011. De hecho, cabe señalar que la propia Microsoft alertaba la semana pasada de la posibilidad de que empezaran a circular muchos gusanos que sacaran partido de los fallos recientemente anunciados, por lo que instaba al canal a proteger a todos los clientes para evitar estos problemas.
En cuanto a los síntomas que nos pueden revelar que hemos sido objeto de la infección, destacan el aviso de reinicio del equipo en un minuto, así como mayor tráfico en los puertos TCP 445, 5554 y 9996.
Así, este virus Sasser saca partido de la mencionada vulnerabilidad de Windows LSASS, que permite que se ejecute, de manera remota, el código malicioso. De esta forma, un atacante podría conseguir tener el control total del sistema afectado. Según las explicaciones facilitadas pro Trend Micro, para su propagación, este virus escanea direcciones IP de manera aleatoria en busca de sistemas vulnerables. Cuando encuentra un sistema vulnerable, el código malicioso envía un paquete especialmente diseñado para producir un desbordamiento de buffer en LSASS.EXE, que causa que el programa se bloquee y requiere que se reinicie Windows.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios