Copiado de hispasec: ---------------------------------------------------------------- As� funciona
Los ordenadores infectados por Sasser abren un servicio FTP en el puerto TCP/5554 para permitir la descarga del ejecutable del gusano. Para infectar a otros sistemas, el gusano realiza un barrido de direcciones IP semialeatorio, intentando conectar con el puerto TCP/445 de cada una de ellas (puerto por defecto donde se encuentra el servicio LSSAS vulnerable). El 25% de las direcciones IPs a las que se dirige pertenecen a la misma clase A que la direcci�n IP del ordenador infectado, otro 25% corresponder� a la misma clase B, mientras que el 50% restante son calculadas completamente al azar. Cada vez que consigue contactar con el puerto TCP/445 en alguna de las IPs, env�a c�digo para explotar la vulnerabilidad LSASS, de forma que si el sistema es vulnerable logra abrir un shell en el puerto TCP/9996. Desde ese shell fuerza una conexi�n al puerto TCP/5554 del ordenador infectado desde el que realiz� el barrido, para descargar por FTP el ejecutable del gusano. El nombre del archivo descargado ser� [numero]_up.exe, donde [numero] equivale a una serie de d�gitos al azar, por ejemplo 23983_up.exe. En el nuevo sistema el gusano se copia en la carpeta de Windows como avserve.exe con un tama�o de 15.872 bytes, y a�ade la siguiente clave en el registro de Windows para asegurarse su ejecuci�n en cada inicio de sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe"="%Windir%\avserve.exe" El nuevo sistema infectado actuar� entonces como otro punto de distribuci�n, iniciando un nuevo barrido de IPs en busca de otros sistemas vulnerables a los que infectar. -------------------------------------------------------------------- Por lo que tengo entendido, no deber�as forwardear nada (ni desde afuera hacia adentro, ni desde adentro hacia afuera) con el puerto 445 y el puerto 5554. Luego, quitar el virus. :( Saludos Marcelo Angel Vicente Perez escribi�:
Hola a todos.... Tenemos en el trabajo, una red con mas de 50 PCs con W2000 y WXP, para salir a internet, estoy usando un maquina con Debian e iptables, no todos tienen salida a Inet. El rollo este del Sasser, me tiene preocupado, porque es seguro que hay un monton de maquinas sin el parche de marras, instalarlo en todas en poco tiempo, va a ser bastante dificil. La idea es si con la configuracion de iptables, puedo tener suficiente proteccion hasta que instale los parches. Si es asi, que configuracion habria que establecer Saludos y gracias de antemano
-- Marcelo F. Fern�ndez Buenos Aires, Argentina Analista de Sistemas - CCNA
