Autor Tema: NUEVO VIRUS W32/SASSER.A  (Leído 46815 veces)

Desconectado sisipo

  • Iniciado
  • *****
  • Mensajes: 1500
    • dfotto.com
NUEVO VIRUS W32/SASSER.A
« en: 01 de Mayo de 2004, 02:09:45 pm »
POST EDITADO POR DABO, WEBMASTER, A LAS 2,13 H DEL 2 DE MAYO


AQUI EL METODO DE DESINFECCION DEL VIRUS W32/SASSER.A

pinchar debajo


http://www.daboweb.com/foros/index.php?topic=4092.0


con capturas de pantalla y toda la informacion  parches




saludos, en el link de arriba os iremos informando de como va todo

-----------------------------------------------------------------------------------

Ojo con este gusano!!!

Se transmite x las redes p2p y es el primer gusano que vulnera el proceso LSASS (Local Security Authority Subsystem).

Este proceso es el encargado de gestionar los controles de acceso y las políticas de dominio.

Se copia en la carpeta c:\windows\avserve.exe
Genera una entrada en el registro: HKLM\software\microsoft\windows\currentversion\run --> avserve=avserve.exe

Os adjunto el link de M$ para bajaros el parche para xp

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es

Este virus funciona también bajo 98, Me y 2000

Salu2
-- Canon 20D --
-- Ibook 12" --

Desconectado Miyu

  • Pro Member
  • ****
  • Mensajes: 508
NUEVO VIRUS W32/SASSER.A
« Respuesta #1 en: 01 de Mayo de 2004, 02:34:25 pm »
Gracias sisipo, la verdad es que parece que está revolucionado el tema hoy con ésto  :shock:
Pego lo que puse en el otro post:
Por lo visto se trata de una nueva vulnerabilidad de los sistemas operativos microsoft que afecta a win2k, Xp, Xp 64 bit y server 2003. Afecta al componente LSASS (Local Security Authority SubSystem) y permite ejecutar código de forma arbitraria, de forma remota en 2000 y xp y local para el 64 bit y 2003.
Aquí dejo la dire para descargar los parches para los S.O. afectados (ojo, es el parche para evitar la vulnerabilidad que deja paso a éste virus, no la solución al virus en sí)

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

(acordaos de descargar el parche en el idioma en el que tengáis el S.O.)

Para detener el reinicio del ordenador y poder hacer lo del parche tranquilamente, vete a Inicio/Ejecutar, escribe cmd y acepta. En la consola de msdos que te saldrá, escribe shutdown -a y eso cancelará el reinicio.

Desconectado Miyu

  • Pro Member
  • ****
  • Mensajes: 508
NUEVO VIRUS W32/SASSER.A
« Respuesta #2 en: 01 de Mayo de 2004, 03:52:53 pm »
Virus: WIN32/SASSER.A

- INFORMACION sobre el virus:
Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en el parche MS04-011. Solo afecta computadoras bajo Windows XP o 2000, que no posean dicho parche instalado.

- CARACTERISTICAS
Existe una posible infección cuando se producen continuos cuelgues del proceso LSASS.EXE, y existe el siguiente archivo en el sistema:

c:\win.log

Se genera tráfico excesivo en los siguientes puertos TCP:

445, 5554 y 9996


Análisis:

El gusano es un archivo de 15,872 bytes.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:

c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea el siguiente archivo:

c:\win.log

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = c:\windows\avserve.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, muestra una ventana con un mensaje muy similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 se muestra una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

Jobaka3l

El uso de un cortafuego personal, disminuye el riesgo de infección.

- INSTRUCCIONES PARA ELIMINARLO
1. Descargue e instale el parche MS04-011 y luego reinicie el equipo:

Microsoft Security Bulletin MS04-011
www.microsoft.com/technet/security/bulletin/ms04-011.mspx

Enlace en spanish
http://www.vsantivirus.com/vulms04-011.htm

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

3. Elimine bajo la columna Nombre, la entrada avserve, en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run


4. En Windows NT, 2000 y XP, abra la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon


5. Cierre el editor del registro.

6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Info sacada de http://www.enciclopediavirus.com/virus/vervirus.php?id=821&alerta=1

Antivirus online http://www.pandasoftware.es/activescan/es/activescan_principal.htm


Destroyer

Importante:
 En Windows XP y Windows ME debemos deshabilitar la opción "Restaurar Sistema" antes de proceder a la limpieza de éste y otros virus. Sigue éste enlace si no sabes cómo hacerlo

XP
http://www.vsantivirus.com/faq-winxp.htm

ME
http://www.vsantivirus.com/faq-winme.htm


Y ademas despues de su eliminacion, activar el firewall del xp o bien instalar uno.

Para activar el firewall del XP:

1. Inicio, Panel de Control, Conexiones de Red

2. Botón derecho sobre la conexion a Internet, y seleccionar Propiedades.

3. En la pestaña "Avanzadas" señalar la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"

4. Aceptar.


Aqui teneis un enlace de descarga y manual de uso, por si decidis instalar el firewall ZoneAlarm..

http://www.daboweb.com/foros/index.php?topic=2420.0

Desconectado jontxudj

  • Pro Member
  • ****
  • Mensajes: 780
NUEVO VIRUS W32/SASSER.A
« Respuesta #3 en: 01 de Mayo de 2004, 04:14:33 pm »
Atención!!! dependiendo de que servipack tengais instalado en el XP teneis que poner un parche determinado, mirad aquí.

http://www.vsantivirus.com/vulms04-011.htm

Saludos y gracias por el aviso.
A veces la necesidad te puede sacar de más apuros que la inteligencia.

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
NUEVO VIRUS W32/SASSER.A
« Respuesta #4 en: 01 de Mayo de 2004, 04:17:21 pm »
Pues en principio la cosa parece seria, asi q a  parchear antes de  nada..

Gracias amigos

un saludo

Desconectado gemgem

  • Newbie
  • *
  • Mensajes: 7
NUEVO VIRUS W32/SASSER.A
« Respuesta #5 en: 01 de Mayo de 2004, 04:18:59 pm »
Sois todos majísimos, porque ayudar a la gente desinterasadamente es una labor digna de admirar (yo el campo no lo domino, pero siempre procuro ayudar al prójimo en lo que puedo).

Un saludo muy afectuoso,

Gemma

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15865
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
NUEVO VIRUS W32/SASSER.A
« Respuesta #6 en: 01 de Mayo de 2004, 04:30:21 pm »
Muchas gracias Gemma...  A ver si podemos aportar todos los datos que podamos en esta cadena sobre este nuevo  "amiguito", que parece nos va a traer de calle...
Un saludo

Desconectado jontxudj

  • Pro Member
  • ****
  • Mensajes: 780
NUEVO VIRUS W32/SASSER.A
« Respuesta #7 en: 01 de Mayo de 2004, 04:41:32 pm »
De momento ya tengo a tres contactos infectados y la cosa va para más.

 Avisar al personal y al lorito.

 Saludos.
A veces la necesidad te puede sacar de más apuros que la inteligencia.

Desconectado sisipo

  • Iniciado
  • *****
  • Mensajes: 1500
    • dfotto.com
NUEVO VIRUS W32/SASSER.A
« Respuesta #8 en: 01 de Mayo de 2004, 04:44:10 pm »
4 hours after infection :D
-------------------------------


después de pasar el parche de M$ , borrar los archivos exe's pertinentes, modificar el registro de windows y actualizar el antivirus... todo vuelve a la calma.

A seguir disfrutando de internet con trankilidad... pero sin bajar la guardia :twisted: .

Salu2!!!
-- Canon 20D --
-- Ibook 12" --

Desconectado fedelf

  • Iniciado
  • *****
  • Mensajes: 2060
  • Avatar By Dabo
    • Mi Flickr
NUEVO VIRUS W32/SASSER.A
« Respuesta #9 en: 01 de Mayo de 2004, 04:44:14 pm »
Pues me parece que estamos ante un nuevo Blaster, y va a dar mucho trabajo.

Yo de momento, hoy estoy trabajando con el Xp, sin actualizar, y no he tenido ningun problema, cosas del firewall. ;)
Canon EOS 40D
18-55 EF-S / 70-200 F4 L IS USM / 50mm 1.4 pero aumentará   :smoke:

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License