O que é

O Sasser é considerado um Worm de Rede pois se espalha via redes Windows: seja na internet ou em LAN. Ele se espalha devido a uma falha existente no Windows NT que permite que o malware entre no computador sem mesmo o usuário executar um arquivo malicioso.

Sintomas

  • PC absurdamente lento
  • Impossibilidade de abrir paginas na internet
  • Erro no lsass.exe com contador de 1 minuto
  • Erro no LSA Shell (Export Version)
  • Erro dizendo “The memory could not be ‘read'” ao iniciar o Windows

É de extrema importância lembrar que além do Sasser e do
Blaster, outros worms também causam a famosa reinicialização em 60 segundos. Por esse motivo, você pode muito bem ter um desses outros worms e não necessariamente o Sasser, pois todos eles possuem sintomas parecidos.

Remoção

O Sasser é um Malware simples, porém ele possui várias variantes. Esses passos vão cobrir a maioria das variantes do Sasser e Cycle.

Para remoção rápida e simples, use a ferramenta F-Sasser, da F-Secure, que você pode baixar aqui:
ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.exe

Tanto a ferramenta de remoção como os passos manuais para remover o problema devem ser executados por um usuário logado no sistema com privilégios administrativos.

Caso a ferramenta não resolva o seu problema, é bem provável que você não tenha o Sasser instalado. Por via das dúvidas, você pode seguir esses passos para removê-lo.

C:WINDOWS é o caminho da pasta Windows. Se você não tem certeza onde fica sua pasta Windows, clique em Iniciar, aponte para executar e digite %Windir%. Clicando em OK, você abrirá a pasta Windows.

Desabilite a recuperação do sistema para ter certeza de que o worm não seja protegido pelo Windows.

  1. Crie o arquivo C:WINDOWSdebugdcpromo.log e coloque o atributo somente leitura (se ele já existe, apenas clique com o botão direito nele, vá em propriedades e marque a caixa “Somente leitura”).
  2. Reinicie o computador
  3. Mate os processos:

    • avserve.exe
    • avserve2.exe
    • skynetave.exe
    • napatch.exe
    • lsasss.exe (note 3 S e não 2)
  4. Delete os arquivos
    • C:WINDOWSsystem32avserve.exe
    • C:WINDOWSsystem32avserve2.exe
    • C:WINDOWSsystem32skynetave.exe
    • C:Win.log
    • C:Win2.log
    • C:WINDOWSsystemsvchost.exe (note que o svchost.exe na pasta system32 é legítimo)
    • Todos os arquivos terminando com _up.exe na pasta C:WINDOWSsystem32
  5. Tire do registro as chaves de inicialização:

    • [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] “avserve”
    • [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] “avserve2”
    • [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] “lsass”
    • [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] “skynetave”
    • [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] “Generic Host Service”
  6. Faça o download e instale a correção da Microsoft para o seu Sistema Operacional:

    Se você não instalar o patch o vírus tem uma grande (90%) de chance de voltar.

  7. Delete o arquivo C:WINDOWSdebugdcpromo.log (talvez seja necessário tirar o atributo somente leitura antes)
  8. Reinicie o computador

É muito importante notar que outros vírus além do Sasser, Cycle e Bobax se espalham como o Sasser e causam o reboot em 60 segundos. Outros deles são o Blaster, Agobot e SdBot.

Como acontece a infecção

Existe um bug em uma rotina do Windows para escrever
logs do sistema. Essa rotina possui uma falha onde se um atacante conectar no sistema com um certo pacote ele poderá executar códigos.

O Sasser executa um código muito simples. Ele manda o computador alvo fazer o download do worm via TFTP. Ou seja,o computador infectado abre um servidor TFTP, enquanto o worm fica procurando alvos. Ao achar um computador sem a correção, ele manda o alvo baixar o worm (que está no servidor TFTP) e executá-lo.

A falha está no arquivo lsass.exe. Ao ser explorada, essa falha causa um estouro de buffer, que faz com que o programa seja finalizado. Acontece que lsass.exe é um arquivo essencial ao funcionamento do Windows. Como ele foi finalizado, o Windows nota a sua falta e força o computador a ser reiniciado para que o programa volte a ser executado.

Em outras palavras, cada vez que o seu computador reinicia quer dizer que o vírus tentou lhe infectar novamente, mesmo você já estando com o vírus.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.