¿Cómo infecta? Explota un agujero de seguridad de LSASS (Autoridad de seguridad local),
que corresponde al archivo ejecutable lsass.exe) en Windows.
¿Qué daños causa? El virus Sasser está programado para ejecutar 128 procesos que
analizan una cantidad de direcciones IP aleatorias que buscan sistemas vulnerables a la
falla LSASS en el puerto 455/TCP. El virus instala un servidor FTP en el puerto 5554 para
que otros equipos infectados puedan descargarlo. Después, cuando encuentra un equipo
vulnerable, el gusano abre un shell remoto en el equipo (en el puerto TCO 9996) y hace que
el equipo remoto descargue una copia del gusano) en el directorio de Windows. Una vez
que se descargó el archivo, el virus crea un archivo llamado win.log en el directorio c:\ que
registra la cantidad de equipos que pueden estar infectados. A continuación, crea entradas
en el registro para reiniciarse cada vez que el equipo se reinicie
No hay comentarios.:
Publicar un comentario