Autor Tema: VIRUS W32/SASSER.A - B - C - D - E - F desinfeccion..  (Leído 59748 veces)

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 14305
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
VIRUS W32/SASSER.A - B - C - D - E - F desinfeccion..
« en: 01 de Mayo de 2004, 10:47:21 pm »
POST EDITADO Y ACTUALIZADO  A LAS 00 ,13 H DEL 11 DE MAYO

DESINFECCION DEL VIRUS W32/SASSER.A y B

EN LOS SIGUIENTES POST DE ABAJO ESTAN LAS INSTRUCCIONES PARA LAS VARIANTES C , D y F (RECIEN DETECTADA EL DIA 11-4-04)


CONVIENE IMPRIMIR POR SI REINICIA

Tras las numerosas consultas del dia de hoy sobre este  problema, y recabando la informacion que se ha ido  plasmando en el foro hemos redactado esta pequeña guia, que esperamos os sea de utilidad, no obstante si alguien observara algun error  agradeceriamos  lo expusiese, este virus entra tipo el blaster y por la ausencia de una actualización de Windows en vuestro PC

:arrow:   Pantallas que muestra...








---------------------------------------------------------------------

RESUMEN  DE ACTUACION

1º PASO)

:arrow: Detener el reinicio del pc.

- Para detener el reinicio del ordenador y poder descargar el parche tranquilamente, ve  a Inicio/Ejecutar, escribe cmd y acepta. (o pulsa la tecla intro) En la consola de msdos que te saldrá, escribe shutdown -a y despues da a intro y eso cancelará el reinicio.

-O bien retrasa el reloj de windows
------------------------------------------------------------------------------------

2º PASO), APLICAR EL PARCHE DE MICROSOFT

 :arrow: APLICAR EL PARCHE DE MICROSOFT

:arrow: Seleccionar el parche de microsoft,  dependiendo de nuestro sistema operativo e idioma

(Para conocer nuestro sistema operativo....  panel de control, sistema, pestaña general. )

Aqui estan todos los win xp y 2000, debes seleccionar el que tengas instalado  y su idioma:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


:arrow: Aqui teneis el parche de microsoft,  ya  en idioma español para los que useis  win xp y win xp+sp 1 en español

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es

------------------------------------------------------------------------------------
3er PASO),

 :arrow: APLICAR VACUNA O HERRAMIENTA DE DESINFECCION, DE MICROSOFT


Sasser.A and Sasser.B Worm Removal Tool (KB841720)

DESCARGA AQUI  :arrow: http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en

UNA VEZ ALLI, A LA DERECHA, DONDE PONE "DOWNLOAD"

Más vacunas:

McAfee AVERT Stinger:

http://download.nai.com/products/mcafee-avert/stinger.exe

SRL (NOD 32):

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sasser


-------------------------------------------------------------------------------------


por ultimo mandarnos un donativo para pagar unas birras a esta gente nuestra del foro tan enrollada :lol:  , un saludo, Dabo, webmaster



AQUI UNA EXPLICACION DE COMO ACTUA EL VIRUS, AL FINAL DE ELLA TENEIS INSTRUCCIONES DE COMO LIMPIAR MANUALMENTE SI FALLA EL PARCHE DE MICROSOFT


Citar
 W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS

http://www.vsantivirus.com/sasser-a.htm

Nombre: W32/Sasser.A
Tipo: Gusano de Internet
Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A,
WORM_SASSER.A
Plataforma: Windows NT, 2000, XP
Fecha: 1/may/04
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de un gusano de redes, programado en Visual C++, que
se propaga explotando la vulnerabilidad en el proceso LSASS
(Local Security Authority Subsystem), reparada por Microsoft
en su parche MS04-011 (ver "MS04-011 Actualización crítica de
Windows (835732)", http://www.vsantivirus.com/vulms04-
011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el
parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema. La naturaleza de esta
vulnerabilidad, se presta a ser explotada por un gusano o
virus informático, capaz de propagarse por las redes, y
"Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el
siguiente nombre:

c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).

También crea el siguiente archivo:

c:\win.log

Modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = c:\windows\avserve.exe

El gusano inicia 128 hilos de ejecución para escanear
direcciones IP seleccionadas al azar por el puerto TCP/445,
buscando sistemas vulnerables (TCP/445 es el puerto por
defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no
tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy
similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 puede aparecer una ventana casi idéntica a la
provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante

para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza
diferentes exploits para Windows XP y Windows 2000 (exploit
universal), y para Windows 2000 Advanced Server (SP4
exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos),
es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar
y ejecutar el gusano desde la computadora infectada,
utilizando el protocolo FTP. Para ello, se crea y ejecuta en
dicho equipo un script llamado CMD.FTP. El script descarga y
ejecuta a su vez al gusano propiamente dicho (con el nombre
#_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los
equipos infectados, con el propósito de permitir la descarga
del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP
realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de
una vez en memoria  



 4er PASO), CONSEJOS Y ACTUACIONES A LLEVAR A CABO

:arrow: PROCEDIMIENTO MANUAL TRAS APLICAR EL PARCHE


Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados,  si alguno no puede borrarlo por indicarle que esta en uso cierre el pocedo en el administrador de tareas..


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:
(En caso de no encontrarlos quizá estuviesen ocultos, por lo cual,  abre panel de control, pulsa en OPCIONES DE CARPETA      pulsa en la pestaña   VER,  y selecciona mostrar los  archivos y carpetas ocultos)

c:\win.log
c:\windows\avserve.exe
c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


:arrow: Limpieza manual del registro

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Elimine bajo la columna Nombre, la entrada avserve, en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

.- En Windows NT, 2000 y XP, abra la siguiente clave del registro para buscarla:

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon

3. Cierre el editor del registro.

4. Reinicie el equipo

5. Escanee nuevamente con su antivirus para confirmar la eliminacion del virus




:arrow: Importante:

         En Windows XP debemos deshabilitar la opción "Restaurar Sistema" antes de proceder a la limpieza de éste y otros virus. Sigue éste enlace si no sabes cómo hacerlo

XP
http://www.vsantivirus.com/faq-winxp.htm

ME
http://www.vsantivirus.com/faq-winme.htm


:arrow: Y ademas despues de su eliminacion, activar el firewall del xp o bien instalar uno.

Activar el firewall del XP:

1. Inicio, Panel de Control, Conexiones de Red

2. Botón derecho sobre la conexion a Internet, y seleccionar Propiedades.

3. En la pestaña "Avanzadas" señalar la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"

4. Aceptar.



:arrow:     Aqui teneis tambien un enlace de descarga y manual de uso, por si decidis instalar el firewall ZoneAlarm..

http://www.daboweb.com/phpBB2/viewtopic.php?t=2420


Un saludo

PARA IR AL INDICE DE FOROS PINCHAR EN EL LINK DE ABAJO

www.daboweb.com/phpBB2


------------------------------------------------------
-----------------------------------------------------------------

VARIANTE B

w32/SASSER B

 La versión B del virus W32.Sasser es practicamente igual que su antecesora y de hecho los parches aplicados sirven tanto para una como para otra.

La diferencia que tiene esta segunda versión es que en crea algún archivo diferente a la hora de instalarse.

Las diferencias son las siguientes:

En la versión A el gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:\windows\avserve.exe

En la versión B cambia el nombre un poquito agregando un 2 al final
c:\windows\avserve2.exe

En la versión A modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = avserve.exe

En la versión B es prácticamente la misma con la misma característica que antes he citado.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve2.exe = c:\windows\avserve2.exe

En las dos versiones da los mismos mensajes de error.

En la versión A se crea el siguiente mutex para no ejecutarse más de una vez en memoria:

Jobaka3l

En la versión B crea los siguientes mutex para no ejecutarse más de una vez en memoria:

Jobaka3
JumpallsNlsTillt

A la hora de hacer la reparación manual deberemos de tener cuidado de eliminar algunos archivos de la versión B que en la A no se creaban, siendo los siguientes:

En las dos versiones se debe de ejecutar el editor de registro (Inicio - Ejecutar - poner regedit - Intro) y buscar en:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

Una vez aquí en la versión A eliminabamos simplemente el archivo:

avserve

Pues bien, después de seguir los mismos pasos en la versión B, debemos eliminar eses mismo archivo y otro con el mismo nombre y el 2 añadido:

avserve2.exe
avserve.exe


Luego tan solo nos queda clickar en registro - salir, aceptar los cambios y reiniciar el PC

---------------------------------------------------------------------
---------------------------------------------------------------------
----------------------------------------------------------------------

Citar
W32/Sasser.C. Variante recompilada del Sasser.A
http://www.vsantivirus.com/sasser-c.htm

Nombre:  W32/Sasser.C
Tipo:  Gusano de Internet
Alias:  Sasser.C, W32/Sasser-C, W32/Sasser.Word.c, Win32/Sasser.C, WORM_SASSER.C
Fecha:  2/may/04
Plataforma:  Windows NT, 2000, XP, 2003
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de una variante recompilada del Sasser.A, básicamente idéntica en su funcionalidad. Sasser es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:

    c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea los siguientes archivos:

    c:\win.log
    c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cinco dígitos, ejemplos:

    c:\windows\system32\15643_up.exe
    c:\windows\system32\12383_up.exe
    c:\windows\system32\21730_up.exe

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    avserve = avserve.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy similar al siguiente:

    LSA Shell (Export Version) ha encontrado un problema
    y debe cerrarse. Sentimos los inconvenientes ocasionados.

En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

    Apagar el sistema

    Se está apagando el sistema. Guarde todo
    trabajo en curso y cierre la sesión. Se perderá
    cualquier cambio que no haya sido guardado.
    El apagado ha sido iniciado por NT
    AUTORITHY\SYSTEM

    Tiempo restante
    para el apagado: xx:xx:xx

    Mensaje
    El proceso del sistema
    C:\WINNT\system32\lsass.exe terminó
    de forma inesperada indicando código 0
    Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
    Jobaka3l



Un saludo

PARA IR AL INDICE DE FOROS PINCHAR EN EL LINK DE ABAJO

www.daboweb.com/phpBB2

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 14305
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
VIRUS W32/SASSER.A - B - C - D - E - F desinfeccion..
« Respuesta #1 en: 03 de Mayo de 2004, 08:05:33 pm »
NUEVA VARIANTE  " D" DEL VIRUS SASSER , VARIAN    DETALLES DEL PROCEDIMIENTO DE LIMPIEZA  ¡¡¡¡ OJO ...!!!  W32/Sasser.D. Se puede ejecutar en Windows 9x y Me


Nota: Es recomendable utilizar un firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


PROCEDIMIENTO DE LIMPIEZA

DETENER EL REINICIO DEL PC

- Para detener el reinicio del ordenador y poder descargar el parche tranquilamente, ve a Inicio/Ejecutar, escribe cmd y acepta. En la consola de msdos que te saldrá, escribe shutdown -a y eso cancelará el reinicio.

-O bien retrasa el reloj de windows...

APLICAR EL PARCHE DE MICROSOFT

:arrow: Hay que seleccionar el parche de microsoft,  dependiendo de nuestro sistema operativo e idioma

(Para conocer nuestro sistema operativo....  panel de control, sistema, pestaña general. )

Aqui estan todos los win xp y 2000, debes seleccionar el que tengas instalado  y su idioma:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


:arrow: Aqui teneis el parche de microsoft,  ya  en idioma español para los que useis  win xp y win xp+sp 1 en español

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es




LIMPIEZA

:arrow: Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


:arrow: Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


 HERRAMIENTAS ESPECIFICAS DE LIMPIEZA
Descargue y ejecute cualquiera de estas herramientas en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

McAfee AVERT Stinger
http://download.nai.com/products/mcafee-avert/stinger.exe

Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sasser


BORRAR MANUALMENTE ARCHIVOS AGREGADOS POR EL VIRUS

:arrow:  Desde el Explorador de Windows, localice y borre los siguientes archivos: (En caso de no encontrarlos quizá estuviesen ocultos, por lo cual,  abre panel de control, pulsa en OPCIONES DE CARPETA      pulsa en la pestaña   VER,  y selecciona mostrar los  archivos y carpetas ocultos)

c:\win2.log
c:\windows\skynetave.exe
c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe

:arrow:   Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


EDITAR EL REGISTRO

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

skynetave.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).



Citar
W32/Sasser.D. Nueva variante del gusano
http://www.vsantivirus.com/sasser-c.htm

W32/Sasser.D. Se puede ejecutar en Windows 9x y Me

Nombre: W32/Sasser.D
Tipo: Gusano de Internet
Alias: Sasser.D, W32/Sasser-D, W32/Sasser.worm.d, W32/Sasser.D, WORM_SASSER.D
Fecha: 3/may/04
Plataforma: Windows NT, 2000, XP, 2003
Tamaño: 16,384 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de una variante básicamente idéntica a las anteriores, es capaz de escanear 200 direcciones IP por segundo.  Posee una rutina mejorada para encontrar las computadoras vulnerables. Manda un PING (Packet INternet Groper), para comprobar la conexión antes de conectarse. Este cambio puede ocasionar que no se ejecute adecuadamente en algunas configuraciones de Windows 2000.

 Sasser.D, además, puede ejecutarse (pero no infectar) máquinas con Windows 95, 98 y Me. Aunque estos sistemas operativos no se puedan infectar con este gusano, si pueden ser utilizados para infectar sistemas vulnerables a los que ellos puedan conectarse. En este caso, será notorio una disminución del rendimiento en equipos con Windows 9x y Me, por la cantidad de hilos simultáneos que el gusano emplea para buscar equipos infectados.

Esta posibilidad de ejecutarse en equipos a los que no puede infectar, aumenta las posibilidades de propagación, y hace a este tipo de gusano algo muy peligroso. En resumen, sólo necesita ejecutarse para propagarse, no requiere ser instalado en el equipo.

Otros cambios, son el nombre del ejecutable y de uno de los mutex creados.

Sasser es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:\windows\skynetave.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea los siguientes archivos:

c:\win2.log
c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
skynetave.exe = c:\windows\skynetave.exe

El gusano inicia 1024 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).

Esta variante es capaz de escanear más de 200 direcciones por segundo.

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos los inconvenientes ocasionados.

En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN2.LOG registra todas las transacciones FTP realizadas.

El gusano crea los siguientes mutex para no ejecutarse más de una vez en memoria:

Jobaka3
SkynetSasserVersionWithPingFast




ENLACE A LA PAGINA PRINCIPAL DEL FORO

http://www.daboweb.com/phpBB2/index.php

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 14305
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
VIRUS W32/SASSER.A - B - C - D - E - F desinfeccion..
« Respuesta #2 en: 09 de Mayo de 2004, 05:00:25 pm »
SASSER  E

Nueva variante del gusano SASSER..  y al igual que en  la version "D"  Windows 9x, Me y NT, no son vulnerables, pero esta versión puede ejecutarse en máquinas con estos sistemas operativos, siendo los mismos utilizados para infectar a aquellos sistemas vulnerables a los que puedan conectarse. Cuando se ejecuta el gusano, es notoria la caída en el rendimiento del equipo.


PARA EVITAR EL REINICIO:

Para detener el reinicio del ordenador y poder descargar el parche tranquilamente, ve a Inicio/Ejecutar, escribe cmd y acepta. (o pulsa la tecla intro) En la consola de msdos que te saldrá, escribe shutdown -a y despues da a intro y eso cancelará el reinicio.


PARA ELIMINARLO
   

APLICAR EL PARCHE DE MICROSOFT

Seleccionar el parche de microsoft, dependiendo de nuestro sistema operativo e idioma

(Para conocer nuestro sistema operativo.... panel de control, sistema, pestaña general. )

Aqui estan todos los win xp y 2000, debes seleccionar el que tengas instalado y su idioma:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


Aqui teneis el parche de microsoft, ya en idioma español para los que useis win xp y win xp+sp 1 en español

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Herramientas específicas de limpieza

Ejecutar cualquiera de estas herramientas para limpiar  automáticamente.

McAfee AVERT Stinger
http://download.nai.com/products/mcafee-avert/stinger.exe

Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sasser



.............................................................


LIMPIEZA MANUAL

Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

    c:\ftplog.txt
    c:\windows\lsasss.exe
    c:\windows\system32\#_update.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

    c:\windows\system32\15643_update.exe
    c:\windows\system32\12383_update.exe
    c:\windows\system32\2730_update.exe

NOTA 1: el verdadero LSASS.EXE está en "C:\WINDOWS\system32\lsass.exe" (carpeta SYSTEM32). NO LO CONFUNDA. Además el archivo creado por el gusano tiene tres "s" finales, en lugar de dos.

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".



LIMPIAR EL REGISTRO:


1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows
    \CurrentVersion
    \Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    lsasss.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


-----------------------------------------

Citar
W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm

Nombre:  W32/Sasser.E
Tipo:  Gusano de Internet
Alias:  Sasser.E, W32/Sasser-E, W32/Sasser.worm.e, Win32/Sasser.E, WORM_SASSER.E
Fecha:  9/may/04
Plataforma:  Windows NT, 2000, XP, 2003
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 1022 y 1023

Esta nueva versión del Sasser (la "E"), fue reportada apenas 10 horas después de confirmado el arresto de su autor, y se piensa que la misma fue liberada por el mismo poco antes de su captura. (ver "Capturados autores del Sasser, del Netsky y del Agobot", http://www.vsantivirus.com/ev-captura-sasser.htm).

Las principales diferencias son que utiliza otro nombre para uno de los mutex creados, cambia el nombre del ejecutable y otros archivos, y también los puertos utilizados para su propagación. Otra diferencia, es que cada dos horas despliega un mensaje. Además intenta borrar las entradas en el registro creadas por el gusano Bagle, como lo hace el Netsky, del mismo autor.

Igual que la variante "D", esta es capaz de escanear 5,120 direcciones IP por segundo. Posee una rutina mejorada para encontrar las computadoras vulnerables. Manda un PING (Packet INternet Groper), para comprobar la conexión antes de conectarse. Este cambio puede ocasionar que no se ejecute adecuadamente en algunas configuraciones de Windows 2000.

Además, puede ejecutarse (pero no infectar) máquinas con Windows 95, 98 y Me. Aunque estos sistemas operativos no se puedan infectar con este gusano, si pueden ser utilizados para infectar sistemas vulnerables a los que ellos puedan conectarse. En este caso, será notorio una disminución del rendimiento en equipos con Windows 9x y Me, por la cantidad de hilos simultáneos que el gusano emplea para buscar equipos infectados.

Esta posibilidad de ejecutarse en equipos a los que no puede infectar, aumenta las posibilidades de propagación, y hace a este tipo de gusano algo muy peligroso. En resumen, sólo necesita ejecutarse para propagarse, no requiere ser instalado en el equipo.

Sasser es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático, capaz de propagarse por las redes, y "Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:

    c:\windows\lsasss.exe

NOTA 1: el verdadero LSASS.EXE está en "C:\WINDOWS\system32\lsass.exe" (carpeta SYSTEM32). NO LO CONFUNDA. Además el archivo creado por el gusano tiene tres "s" finales, en lugar de dos.

NOTA 2: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea los siguientes archivos:

    c:\ftplog.txt
    c:\windows\system32\#_update.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

    c:\windows\system32\15643_update.exe
    c:\windows\system32\12383_update.exe
    c:\windows\system32\2730_update.exe

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    lsasss.exe = c:\windows\lsasss.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).

Esta variante es capaz de escanear más de 5,120 direcciones por segundo.

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

Esta versión utiliza una de las APIs de Windows (rutinas utilizadas para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo del equipo), para intentar evitar que la computadora se reinicie (efecto provocado por la infección). El gusano llama a esta API una vez por segundo durante las primeras 2 horas, para luego mostrar el siguiente mensaje:

       1. Your computer is affected by the MS04-011 vulnerability
       2. It can be that dangerous computer viruses similar the Blaster worm infect your computer
       3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website
       4. This is an message from the SkyNet Team for malicious activity prevention

Luego de ello, Windows XP, muestra una ventana con un mensaje muy similar al siguiente:

    LSA Shell (Export Version) ha encontrado un problema
    y debe cerrarse. Sentimos los inconvenientes ocasionados.

En Windows 2000 puede aparecer una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

    Apagar el sistema

    Se está apagando el sistema. Guarde todo
    trabajo en curso y cierre la sesión. Se perderá
    cualquier cambio que no haya sido guardado.
    El apagado ha sido iniciado por NT
    AUTORITHY\SYSTEM

    Tiempo restante
    para el apagado: xx:xx:xx

    Mensaje
    El proceso del sistema
    C:\WINNT\system32\lsass.exe terminó
    de forma inesperada indicando código 0
    Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables, pero esta versión puede ejecutarse en máquinas con estos sistemas operativos, siendo los mismos utilizados para infectar a aquellos sistemas vulnerables a los que puedan conectarse. Cuando se ejecuta el gusano, es notoria la caída en el rendimiento del equipo.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/1022.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UPDATE.EXE, donde # es un número de cuatro o cinco dígitos), provocando la infección.

El servidor FTP escucha por el puerto TCP/1023 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\FTPLOG.TXT registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

    SkynetNotice

Esta variante, intenta borrar del registro las siguientes entradas creadas por el gusano Bagle:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    "ssgrate.exe"
    "drvsys.exe"
    "Drvddll_exe"

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "ssgrate.exe"
    "drvsys.exe"
    "Drvddll_exe"

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 14305
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
VIRUS W32/SASSER.A - B - C - D - E - F desinfeccion..
« Respuesta #3 en: 11 de Mayo de 2004, 08:07:40 pm »
SASSER  F

Nueva variante del gusano SASSER A..  


PARA EVITAR EL REINICIO:

-Para detener el reinicio del ordenador y poder descargar el parche tranquilamente, ve a Inicio/Ejecutar, escribe cmd y acepta. (o pulsa la tecla intro) En la consola de msdos que te saldrá, escribe shutdown -a y despues da a intro y eso cancelará el reinicio.

-O bien retrasar la hora del reloj de windows

PARA ELIMINARLO
   

APLICAR EL PARCHE DE MICROSOFT

Seleccionar el parche de microsoft, dependiendo de nuestro sistema operativo e idioma

(Para conocer nuestro sistema operativo.... panel de control, sistema, pestaña general. )

Aqui estan todos los win xp y 2000, debes seleccionar el que tengas instalado y su idioma:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


Aqui teneis el parche de microsoft, ya en idioma español para los que useis win xp y win xp+sp 1 en español

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Herramientas específicas de limpieza

Ejecutar esta herramienta para limpiar  automáticamente.

 McAfee AVERT Stinger
http://download.nai.com/products/mcafee-avert/stinger.exe


.............................................................


LIMPIEZA MANUAL

Borrar manualmente archivos agregados por el virus

 Desde el Explorador de Windows, localice y borre los siguientes archivos:

    c:\winlog2
    c:\windows\napatch.exe
    c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

    c:\windows\system32\15643_up.exe
    c:\windows\system32\12383_up.exe
    c:\windows\system32\21730_up.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows
    \CurrentVersion
    \Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    napatch.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).





Citar
W32/Sasser.F. Variante modificada del Sasser.A
http://www.vsantivirus.com/sasser-f.htm

Nombre:  W32/Sasser.F
Tipo:  Gusano de Internet
Alias:  Sasser.F, Win32/Sasser.F, W32/Sasser-F, W32/Sasser.worm.f, WORM_SASSER.F, Exploit-dcomrpc, W32.Sasser.F.Worm
Fecha:  11/may/04
Plataforma:  Windows NT, 2000, XP, 2003
Tamaño: 74,752 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de una variante modificada del "Sasser.A", seguramente creada por un imitador del autor original, capturado recientemente.

Esta vatiante modifica el nombre de algunos archivos, el de la entrada en el registro, y el método de compresión (recomprimido con PECompact).

Es un gusano de redes, programado en Visual C++, que se propaga explotando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)", http://www.vsantivirus.com/vulms04-011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema. La naturaleza de esta vulnerabilidad, se presta a ser explotada por un gusano o virus informático como Sasser, capaz de propagarse por las redes.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:

    c:\windows\napatch.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea los siguientes archivos:

    c:\winlog2
    c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cuatro o cinco dígitos, ejemplos:

    c:\windows\system32\15643_up.exe
    c:\windows\system32\12383_up.exe
    c:\windows\system32\21730_up.exe

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    napatch.exe = c:\windows\napatch.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables. TCP/445 es el puerto por defecto para el servicio vulnerable, SMB (Server Message Block).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

Cuando ello ocurre, se muestra una ventana con un mensaje muy similar al siguiente:

    LSA Shell (Export Version) ha encontrado un problema
    y debe cerrarse. Sentimos los inconvenientes ocasionados.

Luego, aparece una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan), y un minuto después el sistema se reinicia:

    Apagar el sistema

    Se está apagando el sistema. Guarde todo
    trabajo en curso y cierre la sesión. Se perderá
    cualquier cambio que no haya sido guardado.
    El apagado ha sido iniciado por NT
    AUTORITHY\SYSTEM

    Tiempo restante
    para el apagado: xx:xx:xx

    Mensaje
    El proceso del sistema
    C:\WINDOWS\system32\lsass.exe ha
    finalizado inesperadamente y muestra el
    error de código 0
    Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE, donde # es un número de cinco dígitos), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\WINLOG2 registra todas las direcciones IP de las transacciones FTP realizadas con las máquinas infectadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

    billgate

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 14305
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
VIRUS W32/SASSER.A - B - C - D - E - F desinfeccion..
« Respuesta #4 en: 06 de Febrero de 2005, 04:07:56 pm »

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License