¿Quién no se acuerda de la famosa pantalla que aparecía en Windows XP con una cuenta atrás y nos reiniciaba el ordenador sin que pudiéramos hacer mucho? Esto estaba provocado por el gusano Sasser, uno de los malware más famosos de la historia que ahora cumple 10 años.
Allá por abril/mayo de 2004 comenzaba a correr como la pólvora un gusano que hacía que apareciera una ventanita en nuestro ordenador con una cuenta atrás. Esta vulnerabilidad se propagaba a través de Internet y no nos podemos imaginar la repercusión que podría haber tenido hoy en día con plataformas sociales como Twitter.
El gusano se conocía como Sasser, aunque a nivel técnico era W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A, WORM_SASSER.A, y afectaba a los ordenadores con Windows XP, 2000, NT y 2003. Estaba programado en Visual C++ y explotaba una vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem).
Este malware instalaba un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo y asi ayudar a propagar más rápidamente el problema por Internet. Al encontrar un equipo vulnerable, descarga una copia del gusano con el nombre avserve.exe. Posteriormente, crea una serie de entradas en el registro de Windows para reiniciarse sin que el usuario pueda hacer nada.
A nivel del usuario, este lo único que veía era una ventanita nada más iniciar su ordenador que le indicaba que el ordenador se iba a apagar. En esa misma ventana se mostraba “Tiempo restante para el apagado” y un mensaje informando de: “El proceso del sistema C:WINNTsystem32lsass.exe terminó de forma inesperada indicando código 0 Windows debe reiniciar ahora.”
Cambiar la hora como solución temporal
Mientras esperábamos la aparición de una solución a este problema, uno de los “apaños” que podíamos hacer para evitar que se reiniciara constantemente nuestro ordenador, consistía en retrasar la hora del reloj de Windows, lo que nos daba esas horas de ventaja y el temporizador que se nos mostraba nos daba un poco más de margen.
Activar el firewall
La segundo que teníamos que hacer era activar el firewall de Windows XP o bien instalar una solución de un tercero. Era básico filtrar el tráfico de los puertos TCP/445, TCP/5554 y TCP/9996.
Instalar el parche de Microsoft
Por último, debíamos instalar el parche lanzado por Microsoft para corregir este problema, con la actualización crítica KB841720, dentro de Microsoft Security Bulletin MS04-011. También podíamos utilizar la herramienta Sasser Worm Removal Tool para eliminar todo el rastro del gusano del sistema.
Después llegaron más variantes
Microsoft tuvo bastante trabajo durante el mes de mayo de 2004, ya que el gusano Sasser tuvo muchas variantes que complicaron bastante el asunto. Desde Sasser.A como era conocida la variante original, llegamos hasta Sasser.F.
¿Sufristeis a Sasser en vuestro ordenador?