Así funciona
Los ordenadores infectados por Sasser abren un servicio FTP en el puerto
TCP/5554 para permitir la descarga del ejecutable del gusano. Para
infectar a otros sistemas, el gusano realiza un barrido de direcciones
IP semialeatorio, intentando conectar con el puerto TCP/445 de cada una
de ellas (puerto por defecto donde se encuentra el servicio LSSAS
vulnerable).
El 25 por ciento de las direcciones IPs a las que se
dirige pertenecen a la misma clase A que la dirección IP del ordenador
infectado, otro 25 por ciento corresponderá a la misma clase B, mientras
que el 50 por ciento restante son calculadas completamente al azar.
Cada vez que consigue contactar con el puerto TCP/445 en alguna de las IPs,
envía código para explotar la vulnerabilidad LSASS, de forma que si el
sistema es vulnerable logra abrir un shell en el puerto TCP/9996. Desde
ese shell fuerza una conexión al puerto TCP/5554 del ordenador infectado
desde el que realizó el barrido, para descargar por FTP el ejecutable
del gusano. El nombre del archivo descargado será [numero]_up.exe, donde
[numero] equivale a una serie de dígitos al azar, por ejemplo
23983_up.exe.
En el nuevo sistema el gusano se copia en la
carpeta de Windows como avserve.exe con un tamaño de 15.872 bytes, y
añade la siguiente clave en el registro de Windows para asegurarse su
ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
“avserve.exe”=”%Windir%avserve.exe”
El nuevo sistema infectado
actuará entonces como otro punto de distribución, iniciando un nuevo
barrido de IPs en busca de otros sistemas vulnerables a los que infectar.
Estos fallos pueden hacer que la imagen de tu proyecto o startup se vaya al…
Los fondos son una ayuda para que la compañía de chips ponga en marcha una…
Una de las hipótesis es que se ha creado una especie de religión en torno…
Ferret, creado junto a la Universidad de Columbia, está diseñado para usarse solo en fines…
De ahora en adelante las pequeñas y medianas empresas podrán aceptar pagos online de sus…
Gracias a estos fondos la compañía podrá su consolidar su presencia en el mercado español…