Se cumplen 10 años de Sasser, el gusano que nos reiniciaba el ordenador

Escrito por Claudio Valero
Virus

¿Quién no se acuerda de la famosa pantalla que aparecía en Windows XP con una cuenta atrás y nos reiniciaba el ordenador sin que pudiéramos hacer mucho? Esto estaba provocado por el gusano Sasser, uno de los malware más famosos de la historia que ahora cumple 10 años.

Allá por abril/mayo de 2004 comenzaba a correr como la pólvora un gusano que hacía que apareciera una ventanita en nuestro ordenador con una cuenta atrás. Esta vulnerabilidad se propagaba a través de Internet y no nos podemos imaginar la repercusión que podría haber tenido hoy en día con plataformas sociales como Twitter.

El gusano se conocía como Sasser, aunque a nivel técnico era W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A, WORM_SASSER.A, y afectaba a los ordenadores con Windows XP, 2000, NT y 2003. Estaba programado en Visual C++ y explotaba una vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem).

W32SasserA_img1_ES

Este malware instalaba un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo y asi ayudar a propagar más rápidamente el problema por Internet. Al encontrar un equipo vulnerable, descarga una copia del gusano con el nombre avserve.exe. Posteriormente, crea una serie de entradas en el registro de Windows para reiniciarse sin que el usuario pueda hacer nada.

A nivel del usuario, este lo único que veía era una ventanita nada más iniciar su ordenador que le indicaba que el ordenador se iba a apagar. En esa misma ventana se mostraba “Tiempo restante para el apagado” y un mensaje informando de: “El proceso del sistema C:WINNTsystem32lsass.exe terminó de forma inesperada indicando código 0 Windows debe reiniciar ahora.”

Cambiar la hora como solución temporal

Mientras esperábamos la aparición de una solución a este problema, uno de los “apaños” que podíamos hacer para evitar que se reiniciara constantemente nuestro ordenador, consistía en retrasar la hora del reloj de Windows, lo que nos daba esas horas de ventaja y el temporizador que se nos mostraba nos daba un poco más de margen.

Activar el firewall

La segundo que teníamos que hacer era activar el firewall de Windows XP o bien instalar una solución de un tercero. Era básico filtrar el tráfico de los puertos TCP/445, TCP/5554 y TCP/9996.

Instalar el parche de Microsoft

Por último, debíamos instalar el parche lanzado por Microsoft para corregir este problema, con la actualización crítica KB841720, dentro de Microsoft Security Bulletin MS04-011. También podíamos utilizar la herramienta Sasser Worm Removal Tool para eliminar todo el rastro del gusano del sistema.

Después llegaron más variantes

Microsoft tuvo bastante trabajo durante el mes de mayo de 2004, ya que el gusano Sasser tuvo muchas variantes que complicaron bastante el asunto. Desde Sasser.A como era conocida la variante original, llegamos hasta Sasser.F.

¿Sufristeis a Sasser en vuestro ordenador?

Fuente > ADSLZone

Vía > Panda, HP

Continúa leyendo
Comentarios
29 comentarios
  1. Anónimo
    Usuario no registrado
    03 May, 14 4:10 pm

    Me acordare toda la vida, cuando un buen dia inicié el pc y ¡pam! el virus! pues en ese minuto me dió tiempo a descargar el parche y en el siguiente reinicio instalarlo XD

    1. Anónimo
      Usuario no registrado
      03 May, 14 7:22 pm

      eso iba a decir jaja, recuerdo que era mi primer paso para quitarselo a medio vecindario.

  2. Anónimo
    Usuario no registrado
    03 May, 14 4:15 pm

    Joe y tanto que me acuerdo de el.. La tabarra que me dio 1 semana entera porque no sabia arreglarlo, claro que yo tenia 7 años y me costaba encontrar soluciones para estos virus..

    1. Anónimo
      Usuario no registrado
      03 May, 14 7:29 pm

      Muy normal todo con 7 años

  3. amigos895 03 May, 14 4:27 pm

    Que recuerdos, yo lo tuve xD.

  4. Anónimo
    Usuario no registrado
    03 May, 14 4:30 pm

    no era el blaster?

    1. Nova6K0 03 May, 14 4:38 pm

      Relativamente similares, el Blaster afectaba al RPC (Servicio de llamada de procedimiento remoto) no al LSASS, pero eran igual de tocapelotas, con perdón. 😉

      Salu2

    2. Anónimo
      Usuario no registrado
      03 May, 14 4:40 pm

      ese era otro

  5. Anónimo
    Usuario no registrado
    03 May, 14 4:41 pm

    a no me entro, pero le limpie a mucha gente el ordenador que si lo tenia. es lo bueno que tiene tener antivirus y firewall siempre actualizado y todas las actualizaciones de seguridad. que es poco probable que te entre algo.

  6. Anónimo
    Usuario no registrado
    03 May, 14 5:18 pm

    el gusano que hizo que me cambiase a Gnu/linux y desde entonces ni un puñetero problema de virus, malware y demás zarandajas.

    1. Anónimo
      Usuario no registrado
      04 May, 14 12:11 am

      una cosa es que no tengas y otra que no sepas que lo tienes. Existen antivirus para linux? si? pues entonces existen virus.

      1. Anónimo
        Usuario no registrado
        04 May, 14 2:44 am

        Buen razonamiento si señor, con un par… 😀

        1. Anónimo
          Usuario no registrado
          04 May, 14 3:30 am

          Todo sistema operativo tiene virus o es vulnerable por dios
          encima pilotas un sistema linux y no lo sabes?

          1. Anónimo
            Usuario no registrado
            04 May, 14 11:05 am

            todo lo vulnerable que quieras pero en 10 años nada de nada, y eso que alguna vez le paso el clamav, chkrootkit y rkhunter y nada.

            1. Anónimo
              Usuario no registrado
              04 May, 14 5:12 pm

              Existe más gente que ha visto al monstruo del Lago Ness a que haya visto virus para Linux.

      2. Anónimo
        Usuario no registrado
        04 May, 14 11:09 am

        sabes por que existen antivirus para linux? para escanear las mierdas que les mandan los usuarios con windows y a su vez si las quieres tu mandar a otros usuarios con windows, para que no les infectes.

  7. Anónimo
    Usuario no registrado
    03 May, 14 6:03 pm

    Yo tuve el blaster que era parecido. Y hasta ese día iba desde siempre sin anti virus. Simplemente formateaba y reinstalaba Windows.

  8. Anónimo
    Usuario no registrado
    03 May, 14 6:09 pm

    Yo ese día debía estar muy torpe, porque a mi en segundos se me ponía la pantallita y ya no podía hacer nada, no me daba tiempo a descargarme el parche y fui a un locutorio que tenia windows 2000 y me lo descargué.

  9. Anónimo
    Usuario no registrado
    03 May, 14 7:46 pm

    yo tube . el blaster. estava mirando una pelicula tan tranquilamente y me enntro.el dolor de cabeza que tube para quitarlo…

    1. Anónimo
      Usuario no registrado
      03 May, 14 10:02 pm

      cinturon negro de v y b, por lo menos 8 dan.

  10. p2pforever 03 May, 14 7:55 pm

    Yo nunca lo tuve ni ese ni la mayoría de virus (debe ser lo que tiene ser chica y no mirar tanto porno 😛 )

    Lo que si recuerdo es que en el sat de telecable por aquella época estaban hasta las narices de llamadas por ese virus, llamé una vez porque no tenía conexión y la tía que me atendió me preguntó con voz de hastío si se me reiniciaba el pc, cuando le dije que no me pasó a otro que me solucionó el problema simplemente mandándome apagar, dejar unos segundos y volver a encender el cablemodem

    Y si recuerdo mucha gente cerca que lo tuvo y que esa época las revistas de pc publicaban tutoriales para deshacerse de él

    1. Anónimo
      Usuario no registrado
      03 May, 14 10:07 pm

      “debe ser lo que tiene ser chica y no mirar tanto porno” cada cual que saque su propia conclusion, la mia al leer esto es acordarme de los tuneles de la m-30 en madrid.

    2. gtrabal 04 May, 14 1:52 am

      Ese virus lo podrías haber tenido simplemente teniendo conexión a Internet, ya que si se ve una vulnerabilidad en un proceso relacionado con internet, como era este caso, tu no podas hacer nada y además con el simple hecho de tener conexión a Internet, ni siquiera teniendo que abrir el navegador ya te hacia vulnerable ya que fue una vulnerabilidad del proceso, lo cual hacia que fuera saltando de ordenador en ordenador sin que tu pudieses hacer nada para impedirlo. Así que no tiene nada que ver el porno con esto.

  11. Anónimo
    Usuario no registrado
    03 May, 14 9:34 pm

    10 años ya… me hago viejo jejejeje

  12. Anónimo
    Usuario no registrado
    04 May, 14 12:14 am

    el chungo fue el blaster creo, en agosto del 2003, el primero cuando no habia ni service pack 1 creo, ni firewall incorporado al windows, y cuando formateabas te infectabas si o si, salvo que instalaras todo offline y luego metieras el parche. Ese SI era jodido
    acababa de poner un ordenador porque me iba a pirar en media hora y tenia que dejarlo bajando del emule y de repente, zas, en todo el puerto 525, el rpcss creo que era XD. Al final creo que no me daba tiempo a descargar el parche o algo asi, o puede que si no recuerdo, total que al final en el firewall del router bloquee totalmente el puerto afectado. Mano de santo, el pc seguia funcionando. Hasta el blaster mas o menos me bajaba los parches mas o menos cuando me apetecia, de hecho recuerdo que tenia un programilla que te miraba TODO el pc y te decia que parches te faltaban, era del palo de un antivirus pero escaneaba que parches te faltaban en el windows y en las aplicaciones y te soltaba un link para ir a la web de msoft y descargar el parche, pues habia visto que me faltaba el parche este que al final fue el blaster como 2 o 3 meses antes, Pero pasé de instalarlo y al final mira XD y eso que ponia critical, pero pase de instalarlo XD,
    Despues del blaster tuve todos los puertos relacionados con la vulnerabilidad chapados a nivel de router durante los siguientes 8 años 😛 porsiacaso, el sasser era otro puerto pero creo que desde el blaster tenia chapados unos cuantos y “me enteré por la prensa”

    para la chica que no tiene ni idea de lo que habla, el virus este no tiene nada que ver con el porno, es un gusano, te infectabas con solo estar conectado, sin abrir ni el navegador, rebotaba de maquina en maquina y las tiraba abajo todas, bueno las windows
    El blaster y el sasser son los que hicieron que msoft cambiara todo el tema de la seguridad, metiera un firewall en el xp cuando sacaron el primer service pack, etc, porque como dije antes el blaster antes del primer service pack te infectabas SIEMPRE al formatear salvo que lo hicieras sin el cable de red conectado y metieras el parche despues, y solo al final lo conectas, y eso era porque el windows xp antes del primer service pack no tenia firewall creo. Luego ya no habia ese problema. Si tenias un cd con el service pack incorporado ya podias formatear sin problemas con el cable puesto y no pasaba nada

  13. Anónimo
    Usuario no registrado
    04 May, 14 4:24 pm

    Yo fui uno de los afectados y si no recuerdo mal se podía cancelar ejecutando el comando “shutdown -a” (abortar apagado).
    Aunque no recuerdo si después de eso volvía a salir el temporizador, mucho a llovido desde entonces.
    Nunca logré entender cual era el beneficio para un hacer haciendo esto por lo q siempre he pensado q lo hacían las propias empresas de antivirus o la propia microsoft para vender más :S

  14. Anónimo
    Usuario no registrado
    04 May, 14 5:46 pm

    Yo lo instalé a propósito para ver cómo funcionaba.

  15. p2pforever 04 May, 14 7:41 pm

    ji ji se picaron los machotes con mi comentario 😛

    En cuanto al firewall de xp creo que apareció en el sp2 y no en el 1, es que aunque no tengo ni idea de lo que hablo tengo memoria XD