O Sasser é considerado um Worm de Rede pois se espalha via redes Windows: seja na internet ou em LAN. Ele se espalha devido a uma falha existente no Windows NT que permite que o malware entre no computador sem mesmo o usuário executar um arquivo malicioso.
Sintomas
- PC absurdamente lento
- Impossibilidade de abrir páginas da internet
- Erro no Isass.exe com contador de 1 minuto
- Erro no LSA shell (Export Version)
- Erro dizendo "The memory could not be read" ao iniciar o windows
Remoção
O Sasser é um malware simples, porém ele possui várias variantes. Esses passos vão cobrir a maioria das variantes do Sasser e Cycle.
Para remoção rápida e simples, use a ferramenta F-Sasser, da F-Secure, que você pode baixar aqui:
f-sasser.exe
Tanto a ferramenta de remoção como os passos manuais para remover o problema devem ser executados por um usuário logado no sistema com privilégios administrativos.
Caso a ferramenta não resolva o seu problema, é bem provável que você não tenha o Sasser instalado. Por via das dúvidas, você pode seguir esses passos para removê-lo.
C:\WINDOWS\ é o caminho da pasta Windows. Se você não tem certeza onde fica sua pasta Windows, clique em Iniciar, aponte para executar e digite %Windir%. Clicando em OK, você abrirá a pasta Windows.
Desabilite a recuperação do sistema para ter certeza de que o worm não seja protegido pelo Windows.
- Crie o arquivo C:\WINDOWS\debug\dcpromo.log e coloque o atributo somente leitura (se ele já existe, apenas clique com o botão direito nele, vá em propriedades e marque a caixa "Somente leitura").
- Reinicie o computador
- Mate os processos:
- avserve.exe
- avserve2.exe
- skynetave.exe
- napatch.exe
- Isasss.exe (com 3 "s" msm)
- Delete os arquivos:
- C:\WINDOWS\system32\avserve.exe
- C:\WINDOWS\system32\avserve2.exe
- C:\WINDOWS\system32\skynetave.exe
- C:\Win.log
- C:\Win2.log
- C:\WINDOWS\system\svchost.exe (note que o svchost.exe na pasta system32 é legítimo)
- Todos os arquivos terminando com _up.exe na pasta C:\WINDOWS\system32
- Tire do registro as chaves de inicialização:
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "avserve"
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "avserve2"
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "lsass"
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "skynetave"
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Generic Host Service"
- Faça o download e instale a correção da Microsoft para o seu Sistema Operacional:
- Windows XP (Português)
- Windows XP (Inglês)
- Windows 2000 SP2+ (Português)
- Windows 2000 SP2+ (Inglês)
- Outros patchs.
Se você não instalar o patch o vírus tem uma grande (90%) chance de voltar.
- Delete o arquivo C:\WINDOWS\debug\dcpromo.log (talvez seja necessário tirar o atributo somente leitura antes)
- Reinicie o computador
Como acontece a infecção
Existe um bug em uma rotina do Windows para escrever logs do sistema. Essa rotina possui uma falha onde se um atacante conectar no sistema com um certo pacote ele poderá executar códigos.
O Sasser executa um código muito simples. Ele manda o computador alvo fazer o download do worm via TFTP. Ou seja, o computador infectado abre um servidor TFTP, enquanto o worm fica procurando alvos. Ao achar um computador sem a correção, ele manda o alvo baixar o worm (que está no servidor TFTP) e executá-lo.
A falha está no arquivo lsass.exe. Ao ser explorada, essa falha causa um estouro de buffer, que faz com que o programa seja finalizado. Acontece que lsass.exe é um arquivo essencial ao funcionamento do Windows. Como ele foi finalizado, o Windows nota a sua falta e força o computador a ser reiniciado para que o programa volte a ser executado.
Em outras palavras, cada vez que o seu computador reinicia quer dizer que o vírus tentou lhe infectar novamente, mesmo você já estando com o vírus.
Fonte: LinhaDefensiva - Tutoriais
