Sasser es un gusano informático que se propaga de forma diferente al clásico MyDoom.A y sus derivados. Las primeras infecciones ocurrieron en30 de abril de 2004en máquinas en las que el parche de seguridad proporcionado por Microsoft desde13 de abril de 2004 no se había aplicado.
A diferencia de muchos otros gusanos, este gusano no se propagó por correo electrónico , sino que aprovechó una vulnerabilidad de seguridad . Su autor, un alemán de 18 años en ese momento, detenido pocos días después de la liberación del gusano, recibió una pena de prisión condicional. Ahora trabaja para una empresa de seguridad informática.
Decenas de millones de dólares
Este gusano se propaga automáticamente por el puerto 445 en cualquier máquina conectada en red, si está equipada con el sistema operativo Microsoft Windows 2000 , Windows XP o Windows Server 2003 y sin el parche necesario (o si no está protegido por un firewall configurado correctamente ).
Una máquina infectada descarga un programa que se ejecuta automáticamente sin el conocimiento del usuario. Luego, este programa busca en la red máquinas que puedan estar contaminadas y se propaga allí si es posible. Entre los efectos secundarios inducidos por la ejecución del virus, se encuentran reinicios no deseados de la máquina, así como mensajes de error.
Con un tamaño de 15.872 bytes (para la versión inicial), aprovecha una falla de Windows LSASS para descargar en la máquina infectada un archivo llamado avserve.exe en el directorio de Windows vía FTP y puerto TCP 5554 y lanzar su ejecución remota sin ningún tipo de intervención del usuario.
Luego, el gusano se copia a sí mismo en el directorio del sistema con un nombre aleatorio que termina en _up.exe . Modifica el registro para que se inicie cada vez que se inicia. Luego lanza ciento veintiocho procesos simultáneos para escanear la red y encontrar nuevos hosts. El sistema finalmente se vuelve inestable, desde donde se produce un bloqueo de lsass.exe y un reinicio automático acompañado del mensaje de error: LSA Shell ha encontrado un problema y debe cerrarse. Lamentamos las molestias . (en francés: LSA Shell ha detectado un problema y debe cerrarse).
Según las estimaciones iniciales, Sasser afectó a varios millones de máquinas en los primeros días.
Al igual que el Blaster ( Lovesan ), surgió poco después de que Microsoft lanzara el parche MS04-011 para la vulnerabilidad que explota.
El tipo de sistemas operativos GNU / Linux , Mac OS , Unix u otros no son susceptibles al virus.
Un alemán de 18 años, Sven Jaschan , autor del gusano, fue arrestado por la policía de su país el7 de mayo de 2004, o solo unos días después de la liberación del gusano. A pesar de este arresto, la variante E de Sasser apareció en Internet. Supuestamente confesó haber creado también el gusano NetSky para oponerse a los gusanos MyDoom y Bagle . Fue sentenciado a8 de julio de 2005 a una pena de prisión suspendida, pero ahora trabaja en una empresa de seguridad informática.
Dependiendo de los proveedores de antivirus, el nombre de identificación del gusano es diferente: W32/Sasser.x@MM, W32.Sasser.X@mm, WORM_SASSER.X, W32 / Sasser-X o Win32.Sasser.X. "X" es una nueva variante: