Esta nueva versión del Sasser (la "E"), fue reportada apenas
10 horas después de confirmado el arresto de su autor, y se piensa que la misma
fue liberada por el mismo poco antes de su captura.
Las principales diferencias son que utiliza otro nombre para uno de los mutex
creados, cambia el nombre del ejecutable y otros archivos, y también los puertos
utilizados para su propagación. Otra diferencia, es que cada dos horas despliega
un mensaje. Además intenta borrar las entradas en el registro creadas por el
gusano Bagle, como lo hace el Netsky, del mismo autor.
Igual que la variante "D", esta es capaz de escanear 5,120 direcciones IP por
segundo. Posee una rutina mejorada para encontrar las computadoras vulnerables.
Manda un PING (Packet INternet Groper), para comprobar la conexión antes de
conectarse. Este cambio puede ocasionar que no se ejecute adecuadamente en
algunas configuraciones de Windows 2000.
Además, puede ejecutarse (pero no infectar) máquinas con Windows 95, 98 y Me.
Aunque estos sistemas operativos no se puedan infectar con este gusano, si
pueden ser utilizados para infectar sistemas vulnerables a los que ellos puedan
conectarse. En este caso, será notorio una disminución del rendimiento en
equipos con Windows 9x y Me, por la cantidad de hilos simultáneos que el gusano
emplea para buscar equipos infectados.
Esta posibilidad de ejecutarse en equipos a los que no puede infectar, aumenta
las posibilidades de propagación, y hace a este tipo de gusano algo muy
peligroso. En resumen, sólo necesita ejecutarse para propagarse, no requiere ser
instalado en el equipo.
|