Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: sisipo en 01 de Mayo de 2004, 02:09:45 pm

Título: NUEVO VIRUS W32/SASSER.A
Publicado por: sisipo en 01 de Mayo de 2004, 02:09:45 pm
POST EDITADO POR DABO, WEBMASTER, A LAS 2,13 H DEL 2 DE MAYO


AQUI EL METODO DE DESINFECCION DEL VIRUS W32/SASSER.A

pinchar debajo


http://www.daboweb.com/foros/index.php?topic=4092.0


con capturas de pantalla y toda la informacion  parches

(http://www.daboweb.com/gifs/logoforo.jpg)


saludos, en el link de arriba os iremos informando de como va todo

-----------------------------------------------------------------------------------

Ojo con este gusano!!!

Se transmite x las redes p2p y es el primer gusano que vulnera el proceso LSASS (Local Security Authority Subsystem).

Este proceso es el encargado de gestionar los controles de acceso y las políticas de dominio.

Se copia en la carpeta c:\windows\avserve.exe
Genera una entrada en el registro: HKLM\software\microsoft\windows\currentversion\run --> avserve=avserve.exe

Os adjunto el link de M$ para bajaros el parche para xp

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es

Este virus funciona también bajo 98, Me y 2000

Salu2
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 02:34:25 pm
Gracias sisipo, la verdad es que parece que está revolucionado el tema hoy con ésto  :shock:
Pego lo que puse en el otro post:
Por lo visto se trata de una nueva vulnerabilidad de los sistemas operativos microsoft que afecta a win2k, Xp, Xp 64 bit y server 2003. Afecta al componente LSASS (Local Security Authority SubSystem) y permite ejecutar código de forma arbitraria, de forma remota en 2000 y xp y local para el 64 bit y 2003.
Aquí dejo la dire para descargar los parches para los S.O. afectados (ojo, es el parche para evitar la vulnerabilidad que deja paso a éste virus, no la solución al virus en sí)

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

(acordaos de descargar el parche en el idioma en el que tengáis el S.O.)

Para detener el reinicio del ordenador y poder hacer lo del parche tranquilamente, vete a Inicio/Ejecutar, escribe cmd y acepta. En la consola de msdos que te saldrá, escribe shutdown -a y eso cancelará el reinicio.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 03:52:53 pm
Virus: WIN32/SASSER.A

- INFORMACION sobre el virus:
Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en el parche MS04-011. Solo afecta computadoras bajo Windows XP o 2000, que no posean dicho parche instalado.

- CARACTERISTICAS
Existe una posible infección cuando se producen continuos cuelgues del proceso LSASS.EXE, y existe el siguiente archivo en el sistema:

c:\win.log

Se genera tráfico excesivo en los siguientes puertos TCP:

445, 5554 y 9996


Análisis:

El gusano es un archivo de 15,872 bytes.

El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:

c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).

También crea el siguiente archivo:

c:\win.log

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = c:\windows\avserve.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

En Windows XP, muestra una ventana con un mensaje muy similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 se muestra una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

Jobaka3l

El uso de un cortafuego personal, disminuye el riesgo de infección.

- INSTRUCCIONES PARA ELIMINARLO
1. Descargue e instale el parche MS04-011 y luego reinicie el equipo:

Microsoft Security Bulletin MS04-011
www.microsoft.com/technet/security/bulletin/ms04-011.mspx (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)

Enlace en spanish
http://www.vsantivirus.com/vulms04-011.htm (http://www.vsantivirus.com/vulms04-011.htm)

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

3. Elimine bajo la columna Nombre, la entrada avserve, en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run


4. En Windows NT, 2000 y XP, abra la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon


5. Cierre el editor del registro.

6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Info sacada de http://www.enciclopediavirus.com/virus/vervirus.php?id=821&alerta=1 (http://www.enciclopediavirus.com/virus/vervirus.php?id=821&alerta=1)

Antivirus online http://www.pandasoftware.es/activescan/es/activescan_principal.htm (http://www.pandasoftware.es/activescan/es/activescan_principal.htm)


Destroyer

Importante:
 En Windows XP y Windows ME debemos deshabilitar la opción "Restaurar Sistema" antes de proceder a la limpieza de éste y otros virus. Sigue éste enlace si no sabes cómo hacerlo

XP
http://www.vsantivirus.com/faq-winxp.htm (http://www.vsantivirus.com/faq-winxp.htm)

ME
http://www.vsantivirus.com/faq-winme.htm (http://www.vsantivirus.com/faq-winme.htm)


Y ademas despues de su eliminacion, activar el firewall del xp o bien instalar uno.

Para activar el firewall del XP:

1. Inicio, Panel de Control, Conexiones de Red

2. Botón derecho sobre la conexion a Internet, y seleccionar Propiedades.

3. En la pestaña "Avanzadas" señalar la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"

4. Aceptar.


Aqui teneis un enlace de descarga y manual de uso, por si decidis instalar el firewall ZoneAlarm..

http://www.daboweb.com/foros/index.php?topic=2420.0 (http://www.daboweb.com/foros/index.php?topic=2420.0)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: jontxudj en 01 de Mayo de 2004, 04:14:33 pm
Atención!!! dependiendo de que servipack tengais instalado en el XP teneis que poner un parche determinado, mirad aquí.

http://www.vsantivirus.com/vulms04-011.htm

Saludos y gracias por el aviso.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 04:17:21 pm
Pues en principio la cosa parece seria, asi q a  parchear antes de  nada..

Gracias amigos

un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: gemgem en 01 de Mayo de 2004, 04:18:59 pm
Sois todos majísimos, porque ayudar a la gente desinterasadamente es una labor digna de admirar (yo el campo no lo domino, pero siempre procuro ayudar al prójimo en lo que puedo).

Un saludo muy afectuoso,

Gemma
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 04:30:21 pm
Muchas gracias Gemma...  A ver si podemos aportar todos los datos que podamos en esta cadena sobre este nuevo  "amiguito", que parece nos va a traer de calle...
Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: jontxudj en 01 de Mayo de 2004, 04:41:32 pm
De momento ya tengo a tres contactos infectados y la cosa va para más.

 Avisar al personal y al lorito.

 Saludos.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: sisipo en 01 de Mayo de 2004, 04:44:10 pm
4 hours after infection :D
-------------------------------


después de pasar el parche de M$ , borrar los archivos exe's pertinentes, modificar el registro de windows y actualizar el antivirus... todo vuelve a la calma.

A seguir disfrutando de internet con trankilidad... pero sin bajar la guardia :twisted: .

Salu2!!!
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: fedelf en 01 de Mayo de 2004, 04:44:14 pm
Pues me parece que estamos ante un nuevo Blaster, y va a dar mucho trabajo.

Yo de momento, hoy estoy trabajando con el Xp, sin actualizar, y no he tenido ningun problema, cosas del firewall. ;)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: sisipo en 01 de Mayo de 2004, 04:47:43 pm
Hola fedelf,

yo también tenía el firewall puesto y me ha dejado la mákina frita esta mañana  :cry: .

malditos virusillos cutres!!

Salu2!
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 04:50:07 pm
fedelf no te fíes que he leído por ahí a un chico que le entró teniendo el kerio funcionando  :? puede que fuese por mala configuración, pero porsi....  :roll:
sisipo ya está inmunizado por lo visto jejejej espero que la gente del post en seguridad hayan podido solucionarlo también  :(
Saludetes ;)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: sisipo en 01 de Mayo de 2004, 05:14:31 pm
Yo uso blackice y lo tngo a nivel medio de seguridad.Esta mañana me he encontrado con el pc reiniciado, compruebo el visor de sucesos y allí está el precioso error en el winlogon diciéndome q se ha cascao el lsass.

A partir de ahí... paranoia en busca de virus :)

Con lo divertido q era el barrotes!!! esto ya no es lo q era :P

Salu2!!
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: jontxudj en 01 de Mayo de 2004, 05:21:19 pm
XD   :D  :D  :D
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:07:15 pm
Mas preguntas referentes al tema, que se han posteado en seguridad y creo conveniente agruparlas aqui,  para mejor localizacion por parte de todos los foreros.

......................................

Citar
kavieces:

Hola lo que le sucede a mi novia es que al encender el pc y conectarlo a internet le aparece una ventanita que dice error en el archivo issas.exe...
no se puede navegar ni hacer nada no funciona al norton ni nada y al de unos instantes se apaga el pc. ¿como podria solucionarlo?


Citar
GemGem

Hola a tod@s.
A mi me sucede lo mismo que a la novia de kabieces y que a marta26, y lo más curioso es que ha sido de repente, sin yo haber modificado nada.

He leido en el link de spybot que se desaconseja deshabilitar este servicio y yo me pregunto.. para que esté 10 min con accesibilidad al Internet Explorer y de repente deje de tenerla, o en el peor de los casos me aparezca este aviso (*) y se termine reiniciando el pc, qué debo hacer?

Deshabilito la opción o elimino la cuenta de invitado que tengo, aparte de la mía como administradora? Porque se supone que se debe a ello, no?

Ahora os pondré las capturas que he hecho, porque veo que voy a darle a ENVIAR y ya no tendré conexión.


(http://perso.wanadoo.es/gemgem/isassss.JPG)

(http://perso.wanadoo.es/gemgem/isass.JPG)

..................................
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:09:18 pm
Miyu:

Holas marta 26 y kabiece y bienvenid@s
Por lo visto se trata de una nueva vulnerabilidad de los sistemas operativos microsoft que afecta a win2k, Xp, Xp 64 bit y server 2003. Afecta al componente LSASS (Local Security Authority SubSystem) y permite ejecutar código de forma arbitraria, de forma remota en 2000 y xp y local para el 64 bit y 2003.
Vete a ésta página y descarga e instala el parche adecuado para el sistema operativo que tengáis

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

(acordaos de descargar el parche en el idioma en el que tengáis el S.O.)

Para detener el reinicio del ordenador y poder hacer lo del parche tranquilamente, vete a Inicio/Ejecutar, escribe cmd y acepta. En la consola de msdos que te saldrá, escribe shutdown -a y eso cancelará el reinicio.
Prueba y nos cuentas, suerte


.......................

sisipo

Hola!!

Estás en lo cierto Miyu, he creado un post en el foro de virus ya que hay un virus q se aprovecha de este exploit.

(Virus W32/Sasser)

..............................................
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:10:05 pm
gemgem

Hola Miyu, gracias por contestar y no te preocupes si has visto mi post al final.

Pues sí, parece que hoy todo el mundo está con este problema.

Yo termino de instalar las actualizaciones automáticas que tenía descargadas aunque no instaladas. Me esperaré 10 min y si veo que vuelvo a conectarme a la pág. web y estoy sin IExplorer me tiraré de los pelos, porque estoy empezando a ponerme muy nerviosa y a impacientarme.

Mil gracias por tu disponibilidad; Os tendré informad@s de los avances que se produzcan (que espero que sean buenos).

.-

Nada, estoy unos minutos con acceso a IExplorer y luego dejo de tenerlo. Sin embargo puedo acceder al eye, jugar al ET en multiplayer, entrar en el Team Speak... pero al msn no, curiosamente.

También he notado en el DU Meter que la capacidad de línea y el caudal de datos se me disparan exageradamente, sin tener más abierto que esta web, a qué se deberá esto?
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:10:45 pm
´MIYU

Gemgem, es probable que tu pc ya haya sido infectado por el virus que explota ésta vulnerabilidad Se copia a sí mismo en la carpeta de Windows con el nombre avserve.exe La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.) también crea el siguiente archivo c:\win.log y una entrada en el registro.

Para eliminarlo:

1.Descargar e instalar el parche y reiniciar el equipo
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

2.Acceder al registro Inicio-ejecutar y escribir regedit

3.Eliminar del registro bajo la columna Nombre la entrada avserve

HKEY_CURRENT_USER/Software/Microsoft/Windows/Current version/Run
avserve = c:\windows\avserve.exe

4. En Win NT, 2000 Y XP la siguiente clave del registro

HKEY_CURRENT_USER/Software/Microsoft/Windows NT
/CurrentVersion/Winlogon

5.Cierra el editor del registro, reinicia y pasa un anti actualizado para eliminar cualquier resto del gusano, mismamente con el Panda Online
http://www.pandasoftware.es/activescan/es/activescan_principal.htm

Prueba y nos cuentas, suerte
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:12:23 pm
Gem gem

Hola Miyu:

Solo decirte que instalando el Panda Titanium 2004 y después de registrarme el antivirus... esto fue lo que me apareció.

(http://perso.wanadoo.es/gemgem/avserve.JPG)


No imaginas lo agradecida que estoy a tu ayuda y a tu disponibilidad. Miles de gracias



-------------------------------------

Miyu

No hay de qué gemgem, me alegro de que hayas podido solucionarlo  Gracias a ti por tu ofrecimiento, en serio
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:13:14 pm
ALEX205

Oye, pero en el registro, con lo del winlogon que hay que hacer, eliminarlo?



..............................


MARTA 26

Salu2. Si no se tiene el panda, cómo se puede eliminar el gusano este? Yo tengo en norton 2003 y no me lo detecta
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:14:44 pm
GEM GEM

A mi no me ha hecho falta usar el regedit. Instálate el panda titanium porque mi hermano tiene el zonealarm y me acaba de decir q está con las pérdidas de conexión tras tenerla unos minutos (después de haber reiniciado miles de veces) y con un tráfico excesivo de caudal de datos.

De todas formas yo porbé el regedit y no encontré el archivo a eliminar.

Muchísima suerte, que parece que hayan esperado a que sea el dia del trabajador para hacer el mayor daño posible porque, para un dia en que tenía festivo mira la gracia que ha tenido el responsable/s.

----------------------


MIYU

En la ruta HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon tienes que buscar la entrada llamada avserve si es que la hubiese, que si no estás infectado por el virus no tiene por qué haberla. Prueba antes a parchear tu sistema

www.microsoft.com/technet/security/bulletin/ms04-011.mspx

bajaros el parche para el S.O. que tengáis, instaladlo y reiniciad. Si no estais infectados, con eso debería quedar solucionado

Marta, no hace falta que tengas el Panda, puedes hacer un escaneo online desde su página oficial http://www.pandasoftware.es/activescan/es/activescan_principal.htm

------------------------------
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:15:46 pm
ALEX 205

Pues parece que lo he eliminado, pero tengo el Norton Antivirus 2004 y ayer no le funcionaba el autoprotect y supuse que tenia un virus, pero sigue sin funcionar el auto-protect. Ahora mismo estoy haciendo un análisis online haber si encuentra algo y despues reiniciaré.
Gracias por tu ayuda.

----------------------------


MIYU

A ver si sale todo limpio, suerte


----------
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:17:19 pm
KAVIECES

Bueno mi novia no puede eliminarlo ya que a ella el pc se le reinicia cada menos de un minuto y no le da tiempo a descargar el parche. Hizo lo de entrar al msdos y escribir eso raro que alguien puso pero no le para el reinicio.¿alguna otra forma?

------------------

MIYU

kabieces, aseguraos de que lo hace bien, es muy raro que no funcione  escibe tal cual shutdown -a (dejando un espacio entre shutdown y -a), después le das al enter y debería funcionar.
Si sigue sin chutar, prueba a atrasar unos cuantos días el reloj de windows a ver si así os deja.

-------------

KAVIECES

Uff gracias a dios lo conseguimos el parche esta bajado y ejecutado. Ahora despues de ello ¿con pasar el antivirus basta?
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:19:22 pm
MIYU

Te digo lo mismo que a Alex, si no estáis infectados, con instalar el parche y reiniciar debería quedar solucionado.
De todas formas no viene mal nunca hacer un scan con el anti actualizado

Las preguntas sobre el tema a partir de aquí id dejándolas en el post de virus por favor

http://www.daboweb.com/foros/index.php?topic=4065.0

así estará toda la info junta y será menos lioso para tod@s, ok? Gracias
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: kabieces en 01 de Mayo de 2004, 07:19:28 pm
Despues de instalar el parche el pc ya no le reinicia ahora le aparece una ventana que dice asi
LSA SHELL (EXPORT VERSION)
HA ENCONTRADO UN PROBLEMA Y TUVO QUE CERRAR

pero repito que el pc ya no le reinicia que debemos ¿hacer ahora?
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:27:28 pm
Hola:
 despues de instalar el parche adecuado a tu sistema operativo y service pack que tengas instalado, debes realizar estos pasos para eliminar avserve.

Citar
2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

3. Elimine bajo la columna Nombre, la entrada avserve, en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

4. En Windows NT, 2000 y XP, abra la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon

5. Cierre el editor del registro.

6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.


Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: iker en 01 de Mayo de 2004, 07:34:26 pm
Hay varios Windows XP:
Microsoft Windows XP and Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003

donde miro q tipo de XP tengo y q idima tiene el S.O???

gracias
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: kabieces en 01 de Mayo de 2004, 07:38:59 pm
Una vez entrado en regedit y llegado a winlogon como se cierra la llave de registro?
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 07:40:47 pm
Holas iker, puedes mirarlo yendo a Panel de Control, entra en Sistema y en la pestaña General debería ponértelo.
El idioma supongo que es el español :D así que vas a la page, das a Download Update y te lleva a la page de descarga de Microsoft donde puedes elegir el idioma  :wink:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:43:05 pm
Panel de control.  sistema...  en la pestaña general...

Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 07:43:34 pm
Kabieces, si dentro de Winlogon habèis encontrado la entrada avserve que sería la que indica que está infectado, lo que tienes que hacer es eliminarla, clikas con el botón derecho del ratón sobre ella y Eliminar.
Después debes reiniciar y pasar un anti actualizado, ok?
Enlace al anti on-line de Panda http://www.pandasoftware.es/activescan/es/activescan_principal.htm
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Danae en 01 de Mayo de 2004, 07:49:35 pm
Dabo, creo que puede ser complementario, si vés que no, sencillamente lo borras, ok?
---------------------------------------------------------

VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
_____________________________________________________________

http://www.vsantivirus.com/sasser-a.htm

Nombre: W32/Sasser.A
Tipo: Gusano de Internet
Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A,
WORM_SASSER.A
Plataforma: Windows NT, 2000, XP
Fecha: 1/may/04
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de un gusano de redes, programado en Visual C++, que
se propaga explotando la vulnerabilidad en el proceso LSASS
(Local Security Authority Subsystem), reparada por Microsoft
en su parche MS04-011 (ver "MS04-011 Actualización crítica de
Windows (835732)", http://www.vsantivirus.com/vulms04-
011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el
parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema. La naturaleza de esta
vulnerabilidad, se presta a ser explotada por un gusano o
virus informático, capaz de propagarse por las redes, y
"Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el
siguiente nombre:

  c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).

También crea el siguiente archivo:

  c:\win.log

Modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  avserve = c:\windows\avserve.exe

El gusano inicia 128 hilos de ejecución para escanear
direcciones IP seleccionadas al azar por el puerto TCP/445,
buscando sistemas vulnerables (TCP/445 es el puerto por
defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no
tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy
similar al siguiente:

  LSA Shell (Export Version) ha encontrado un problema
  y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 puede aparecer una ventana casi idéntica a la
provocada en Windows XP por el gusano Blaster (Lovsan):

  Apagar el sistema

  Se está apagando el sistema. Guarde todo
  trabajo en curso y cierre la sesión. Se perderá
  cualquier cambio que no haya sido guardado.
  El apagado ha sido iniciado por NT
  AUTORITHY\SYSTEM

  Tiempo restante
  para el apagado: xx:xx:xx

  Mensaje
  El proceso del sistema
  C:\WINNT\system32\lsass.exe terminó
  de forma inesperada indicando código 0
  Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza
diferentes exploits para Windows XP y Windows 2000 (exploit
universal), y para Windows 2000 Advanced Server (SP4
exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos),
es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar
y ejecutar el gusano desde la computadora infectada,
utilizando el protocolo FTP. Para ello, se crea y ejecuta en
dicho equipo un script llamado CMD.FTP. El script descarga y
ejecuta a su vez al gusano propiamente dicho (con el nombre
#_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los
equipos infectados, con el propósito de permitir la descarga
del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP
realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de
una vez en memoria:

  Jobaka3l

Saludos  :lol:  :lol:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: iker en 01 de Mayo de 2004, 07:50:19 pm
Me pone:

Sistema
Microsoft Windows XP
Profesional
Version 2002

voy a probar Microsoft Windows XP and Microsoft Windows XP Service Pack 1

Gracias
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: BuHo en 01 de Mayo de 2004, 07:54:30 pm
Joder, esto es lo que pasa por no parchear cuando hay que parchear. El fallo en cuestion del LSASS salio poco antes de abril, era normal que saliera un bicho que se aprovechase, pero bueno, si ahora ocurre nuevamente una catastrofe como con el blaster... yo no tengo dudas, la culpa es de la gente por no informarse, porque el parche creo que ya tiene varias semanas...

En fin, estaremos dando cobertura y ayuda.

Un saludo.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 07:55:34 pm
hola:
Es importante desactivar el restaurador del sistema de windows para realizar la limpieza del este y cualquier virus..

http://www.vsantivirus.com/faq-winxp.htm

y ademas despues de su eliminacion, activar el firewall del xp  o bien instalar uno.


Para activar el firewall del  XP:

1. Inicio, Panel de Control, Conexiones de Red

2. Botón derecho sobre la conexion a Internet,  y seleccionar Propiedades.

3. En la pestaña "Avanzadas" señalar  la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"

4. Aceptar.


Aqui teneis un enlace de descarga y manual de uso,  por si decidis instalar el firewall,  zone alarm..

http://www.daboweb.com/foros/index.php?topic=2420


Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 07:59:59 pm
Megde es cierto, se me pasó lo del restaurador del sistema  :x lo pego en el post del principio también, Dest?  :oops:

Iker, ése debería irte bien, nos cuentas ;)

Y BuHo está en lo cierto, de hecho el parche venía ya dentro de la última de las actualizaciones críticas y a mí entre otros no me ha afectado porque suelo andar al día con eso. Hay que darse un paseo por el Windows Update de vez en cuando, que se pueden evitar casos como éste  :roll:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 08:04:32 pm
Ok miyu..

Es normal, con tanto stress...   :wink:

Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: iker en 01 de Mayo de 2004, 08:44:43 pm
Ya he conseguido solucionarlo, a la segunda (resulta que lo tenía en inglés)

He bajado y ejecutado el parche y parece q todo va bien. Eso si en el registro no me aparecia nada de avserve en el directorio q pusisteis.

Gracias a todos
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 08:47:15 pm
Me alegro iker  :wink:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 08:47:41 pm
un saludo amigo...   :wink:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: doblev en 01 de Mayo de 2004, 08:56:43 pm
Hola a todos, acabo de descubrir este foro y tengo el problemilla del virus este.

Me he bajado el parche y me dice que hay problema con el idioma. Yo tengo el XP en español y me lo he bajado en español, pero por si acaso también lo he probado en inglés. Con ambos me dice lo mismo

Alguna solución?

muchas gracias

PD: Creo que mi XP no es húngaro, ni japonés
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 08:59:56 pm
Hay varios parches para XP dependiendo de si tienes instalado o no algún service Pack, asegúrate cual es el tuyo yendo a Panel de Control, Clikando en Sistema y mirándolo en la pantalla General.
Bienvenido  :wink:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 09:02:25 pm
te borrare el otro post amigo, para no duplicar contenidos..   :wink:

Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: doblev en 01 de Mayo de 2004, 09:03:20 pm
Cita de: Miyu
Hay varios parches para XP dependiendo de si tienes instalado o no algún service Pack, asegúrate cual es el tuyo yendo a Panel de Control, Clikando en Sistema y mirándolo en la pantalla General.
Bienvenido  :wink:


Gracias por la bienvenida.

Me dice que el sistema es:

Windows XP
Profesional
Versión 2002
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 09:08:48 pm
Hum... debería ser éste
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es

Es el enlace en español, si no funciona prueba también con el inglés, ahí mismo puedes cambiarlo. Suerte y nos cuentas qué tal  :wink:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: doblev en 01 de Mayo de 2004, 09:58:44 pm
Muchísimas gracias Miyu

Creo que todo solucionado.

 :wink:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 10:02:33 pm
Guay, me alegro  :wink:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 10:05:23 pm
Miyu vaya tarde....  IMPECABLE...   :wink:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 10:08:30 pm
Lo mismo digo, jefe :wink: (http://www.handykult.de/plaudersmilies.de//happy/xyxthumbs.gif)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: choche en 01 de Mayo de 2004, 10:13:29 pm
Se llama por casualidad así?
Actualización de seguridad para Windows XP (KB835732)

Es q si es ese ya lo tenía.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 01 de Mayo de 2004, 10:19:16 pm
Ése es, Choche  :wink:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 10:20:48 pm
El parche en si es una actualizacion de principios de abril, pero el problema lo ha tenido la gente que no habia actualizado el windows en el update,  choche..  :wink:  

Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: choche en 01 de Mayo de 2004, 10:24:02 pm
Ahhhh!!! entonces fui precavido :D Por una vez hice los deberes :lol:
Título: ISSAS
Publicado por: CAROL en 01 de Mayo de 2004, 11:33:08 pm
PORFAVOR AYUDA! NO ENTIENDO MUXO DE INFORMATICA, QE ES ISSAS. EXE QUE CADA VEZ QUE ME CNECTO A INTERNET ME DA 60 SEGUNDOS PA QUE GUARDE TODO PORQE SE ME APAGA EL EQIPO. LO TENGO EN MI ORDENADOR Y NO SE QUE ACER NI QUE DESCARGARME... E FORMATEO EL ORDENADOR PERO SIGE AHI... EXPLICADMELO DE FORMA SENCILLA :) GRACIAS
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 01 de Mayo de 2004, 11:49:10 pm
hola:

          Para detener el reinicio del ordenador y poder descargar el parche tranquilamente, ve a Inicio/Ejecutar, escribe cmd y acepta. En la consola de msdos que te saldrá, escribe shutdown -a y eso cancelará el reinicio.
 Asi tendras tiempo para descargarte los parches contra el virus.

Y ademas seria conveniente te descargases esta pagina para ver el procedimiento de limpieza del virus..

http://www.daboweb.com/foros/index.php?topic=4092.0

aqui tienes los parches

parche de microsoft, dependiendo de nuestro sistema operativo

.-Para conocer nuestro sistema operativo.... panel de control, sistema, pestaña general.

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


Parche en español para win xp y win xp+sp 1

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es

Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: kabieces en 02 de Mayo de 2004, 12:11:39 am
Hola de nuevo:
Bueno hemos bajado el parche y ejecutado no se si el adecuado o no, el caso es que antes sucedia exactamente lo mismo que a carol y ahora el pc sigue reiniciandose pero sin aparecer el mensaje y tarda unos 10 minutos en hacerlo.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 02 de Mayo de 2004, 12:18:25 am
hola:

¿Habeis desactivado el restaurar sistema de windows?

Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: kabieces en 02 de Mayo de 2004, 12:20:06 am
Antes de nada para poder trabajar a gusto. ¿como era para parar el reinicio?
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 12:23:33 am
Inicio - Ejecutar - cmd y dentro de la consola teclear shutdown -a

Deberíais haberlo hecho desactivando Restaurar sistema como dice Dest. Y habéis pasado un antivirus y buscado el avserve en el registro o solo habéis parcheado?

Por otra parte, si no os salió ningún mensaje de error al instalar el parche, era el correcto :)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: gaderum en 02 de Mayo de 2004, 12:26:22 am
Hay que ver como sois, no se os va ni una. cada vez me siento mas orgulloso de pertenecer a esta comunidad, aunque casi siempre estoy en la otra habitación hago de vez en cuando una visita por aquí :wink:
Hasta ahora no he tenido problemas (toco madera), aunque si los tuviera ya sabría a que atenerme :wink:
Chapó y.....
Salud.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: CAROL en 02 de Mayo de 2004, 12:28:38 am
voy a hacer todo lo q abeis dixo. pero en el caso qe se me vuelva a reiniciar el ordena qe ago?¿ lo siento pero esq ay algunos terminos de los qe utilizais qe n ls entiendo y me suenan a chino...:) besitos
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 12:30:52 am
Carol, no te preocupes que si haces lo de shutdown -a y le das al enter, no se te reinicia ;) (deja un espacio entre shutdown y -a, no lo escribas unido)
Prueba a ver y nos cuentas :)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: CAROL en 02 de Mayo de 2004, 12:32:07 am
"desactivando Restaurar sistema " eso como se hace? tengo el xp
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 12:35:21 am
Para deshabilitar la herramienta "Restaurar sistema" en Windows XP, siga estos pasos:
1.Seleccione, Inicio, Mi PC
2.Haga clic en "Ver información del sistema"
3.Seleccione la etiqueta "Restaurar sistema"
4.Marque la casilla "Desactivar Restaurar sistema en todas las unidades" y pulse en "Aplicar".
5.El sistema le preguntará si está seguro de querer deshabilitarlo. 6.Confírmelo pulsando en SI.
La opción que muestra el estado de los discos en la ventana "Configuración de la unidad" aparecerá deshabilitada (todo gris). Pulse en el botón Aceptar.

Para volver a habilitarla una vez terminado el trabajo de desinfección y demás:
 repita todos los pasos anteriores, desmarcando en el punto 4 la casilla "Desactivar Restaurar sistema en todas las unidades".
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 02 de Mayo de 2004, 12:37:43 am
Miyu escribo y cuando mando  veio que ya estas tú..   :D     Pues borrando.com   :wink:

un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: CAROL en 02 de Mayo de 2004, 12:40:59 am
muxisimas gracias vy a intentarlo, si acabo pronto os cuento si no me meto mañana y os cuento qe tal a ido. sin vosotrs etaria desesperada! pq los ordenadores no pueden explicarlo asi de sencillo?¿ jejeje un besito muy grande y muxas gracias :)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 12:45:39 am
juas Dest, es que hoy voy pasada de revoluciones :D cuando tenga que frenar, la ottia que me voy a dar va a ser fina  :lol:

Gaderum, que te pases poco por ésta habitación es buena señal ;)

Animo y al toro, Carol! :)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Alex205 en 02 de Mayo de 2004, 02:05:10 am
Pues el problema que yo tengo es que he borrado el virus pero el auto-protect del norton no me va. ¿Tengo otro virus que no lo detectan los análisis?  :(
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: kabieces en 02 de Mayo de 2004, 02:08:40 am
Hola otra vez:
A ver al fin hemos conseguido instalar y ejecutar el parche. Tambien hemos desabilitado restaurar sistema. Ahora sino creo mal el siguiente paso es lo del regedit y eliminar a mano si existe el abserve o como se llame. El problema es que no la deja abrir el editor del registro se le cierra constantemente no llega ni a software y se cierra.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Antonio de la Flor en 02 de Mayo de 2004, 02:21:10 am
Dabo
¿Te enlazo ya en adelita al manual que has puestoe n el primer mensaje de este hilo?
El segundo enlace del gif/logo me sale tu página de error. Espero
Título: YATA ESO CREO...
Publicado por: CAROL en 02 de Mayo de 2004, 02:23:16 am
olaaa! ya e eliminao el virus ese o eso creo...
Lo de borrar eso de avervse o como se llame, yo lo e eliminao manualmente buscando en cada carpeta pq por si solo n me salia entnces cuando lo e eliminao e reiniciao y se ma kitao, eso creo pq al conectarme a internet no me a aparecio el aviso ese de antes...
¿ES SEGURO QE SE ME AYA ELIMINAO O BORRO MAS COSAS?AVER SI VAN A KEDAR RESTOS X AI DEL P... VIRUS! JEJE UN BESAZO Y AVER SI LO CNSIGES QE A MI MA CSTADO 2 HORAS
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 02:33:33 am
Alex, no tiene por qué ser un virus, a lo mejor simplemente se ha deshabilitado. Prueba con ésto y si no ya empezamos a preocuparnos (es broma :mrgreen:)

Para todas las versiones de Norton Antivirus:
1.Haz click con el botón derecho sobre el icono de Auto protección que hay en la barra de herramientas, junto al reloj.
2.Elige la opción HABILITAR (o Activar, o Enable si es en inglis)

Solo para Norton Antivirus 2001:
1.Abre el antivirus.
2.Clika abajo donde pone más detalles en la interfaz del anti.

(http://www.angelfire.com/crazy2/alice/images/tessnicos/norton.gif)
3.Responde SÍ cuando pregunte si quieres habilitarlo.
4.Sal del Norton, ciérralo normalmente.


Para Norton Antivirus 2002, 2003 y 2004:
1.Abre el anti.
2.Vete a Opciones.
3.Clicka en Auto Protección.
4.Marca "Habilitar Auto protección" (o "Enable Auto Protect") y "Arrancar Auto Protección cuando se inicie Windows" ("Start Auto-Protect when Windows starts up")
5.Dale a Aceptar
6.Acepta también la siguiente ventana
7.Sal del Norton.


Para Norton 2001:
1.Abre el anti.
2.Vete a Opciones.
3.Clicka en Auto Protección.
4.Marca "Habilitar Auto protección" (o "Enable Auto Protect") y "Arrancar Auto Protección cuando se inicie Windows" ("Start Auto-Protect when Windows starts up")
5.Dale a Aceptar
6.Responde SI cuando te propongan Habilitar la Auto Protección.
7.Sal del anti.


Para Norton 2002
1.Abre el anti y vete a Opciones
2.Clika en "Auto Protección"
3.Marca "Arrancar Auto Protección cuando se inicie Windows"
4.Dale a aceptar.
5.Responde SI cuando te propongan Habilitar la Auto Protección.
6.Sal del anti.

Bueno, si no te funciona sería bueno que dijeras la versión de Norton Antivirus y el sistema operativo que tienes, para poder ir más directos ;)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: kabieces en 02 de Mayo de 2004, 02:37:11 am
Al fin creo que lo hemos conseguido hacer todo aunque no aparecia el archivo dentro del editor del registro puede estar en algun otro lado el virus?. Lo digo porque ya parece que va bien el pc en este sentido no reinicia ni nada, pero antes de descubrir este foro probamos a formatear que logicamente no sirvio para nada pero ahora una vez solucionado el problema el pc no va bien por ejemplo no reinicia desde inicio reiniciar hay que hacerlo a mano ¿eso puede ser cosa de que el virus esta en algun archivo o carpeta por ahi? o puede ser cosa de que ¿hemos formateado mal?
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 02:38:14 am
Carol, te acordaste de volver a habilitar lo de Restaurar sistema, no?
Si ya no te reinicia ni te sale el cartelito ni te pasa nada raro, está arreglado ;)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 02:44:27 am
kabieces, no sabría decirte si puede ser del formateo, en principio si no os dio ningún problema durante, no debería.
Estaría bien que hiciéseis un scan con un antivirus, no sea que queden aún restos del maldito W32/SASSER.A por ahí que os estén dando la lata :? podéis hacerlo desde aquí http://www.pandasoftware.es/activescan/es/activescan_principal.htm

Prueba y nos cuentas, vale?
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: kabieces en 02 de Mayo de 2004, 02:46:22 am
Ahora hemos terminado con el panda y ha detectado estos dos virus:
w32/blaster.fworm
w32/nachi.e
y los ha eliminado eran esos los que causaban toda esta serie de destrozos?
y por cierto soy nuevo en este foro y quisiera saber si aqui se soluciona cualquer problema que sepais hacerlo? o solo de este tipo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Dabo en 02 de Mayo de 2004, 02:47:27 am
IMPRESIONANTE MIYU EL DIA QUE LLEVAIS POR AQUI

estais ayudando a miles de personas  :!:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 02:55:43 am
Kabieces, habéis instalado el parche del Blaster? Si tenéis cualquier sistema operativo que no sea win98 es lo 1º que tenéis que hacer después de un formateo. Qué sistema operativo tienes?¿

Y claro que aquí se ayuda en muchos temás más, sólo tienes qu ir al índice de foros y verás que hay muchos más además de éste ;)

Dabo, eso ha sonado a ONG :lol: me ha hecho gracia :D
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: kabieces en 02 de Mayo de 2004, 03:07:41 am
Bueno pues parece que ser que ya esta todo solucionado de una vez.
No se como agradeceros la ayuda que nos habeis prestado un millon de gracias me parece muy poco pero no se de que otra forma hacerlo. Si cualquier dia puedo ayudaros yo en algo lo hare con el mayor gusto del mundo.
Y ya para despedirme por hoy, ya que volvere cada dia a haceros una visita daros una vez mas mil millones de gracias.
Un placer haberos conocido.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 03:10:58 am
Me alegro un montón, espero que se haya arreglado todo de verdad ;)
Y espero también que sea verdad que sigas pasándote por aquí de vez en cuando eh? ;)
El placer ha sido mutuo :)
Enga, saludetes y a mandar  :D
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Dabo en 02 de Mayo de 2004, 03:14:11 am
es el resultado del esfuerzo personal de gente como Miyu y muchas otras que llevan mas de 10 h frente al PC

me alegro de que se haya arreglado, tu ejemplo servira a otros mas, bienvenido al foro, a todos los nuevos y espero veros por aqui


saludos  :!:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 03:24:48 am
Citar
que llevan mas de 10 h frente al PC

... gente sin vida social, frikis absolutos, discriminados por la sociedad, llenos de granos.... CHIC@SSSS el jefe nos está insultandooooooo  :cry:  
:mrgreen:  :lol:  :lol:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Dabo en 02 de Mayo de 2004, 03:37:50 am
:lol:  8)

yo el primero  :wink:  :lol:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 02 de Mayo de 2004, 11:05:05 am
:lol:  :lol:  :lol:   Pues todos frikis absolutos, la vida social ¿cuenta la del foro??...     :wink:

Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: CAROL en 02 de Mayo de 2004, 12:50:33 pm
miyu, crei acabar cn el virus pero me vuelve  a salir la ventanita de q el ordena se me apaga, pero en vez de poner isses.exe pone conexion R.. no se qe,y me da tantos segundos y yo e exo lo de shutdown, pq me pasa aora eso?^encima intento acer lo de panda ese y no se puede,bst
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 12:57:39 pm
Maldición!  :evil:
Carol, si puedes cópiame lo que te sale en la ventanita que te lleva a reiniciar, plis.
Y lo del Panda, por qué no puedes hacerlo? no puedes entrar a la página?¿
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: fedelf en 02 de Mayo de 2004, 01:25:39 pm
Carol, no sera RPC lo que te sale? si es asi, entonces es el virus Blaster. Tienes tambien mucha informacion en el foro para deshacerte de el.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: sisipo en 02 de Mayo de 2004, 01:43:51 pm
Hola amigos!!

Es curiosa la propagación de los virus.

Hace algo más de 24 horas mi mákina se quedó colgadísima con el sasser, poco después de dar la alerta en los foros ya habían 10 replys sobre el tema, y esta mañana cuando he entrado casi 90.

Es triste como un sistema operativo poco depurado (windows?? :twisted: ) puede ser tan fácilmente pateado.

El virus sasser no es ni más ni menos que un gusano que se aprovecha de las deficiencias de un sistema, dónde están los programadores que hacen virus de verdad???

Llamadme loco pero yo disfrutaba quitando virus como el junkie que infectaban sin aprovecharse de debilidades del sistema operativo (aunque las consecuencias podían ser catastróficas).

En fin... sólo quería dejar unas cuantas ideas en el aire para pensar sobre ellas.

Salu2!!!

Feliz desinfección ;)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: sisipo en 02 de Mayo de 2004, 01:47:10 pm
X cierto Miyu... un friki no es un marginado social.

Un friki es una persona que entiende la realidad de otra manera y puede plantearse las cosas de otra manera diferente al resto con lo cuál tiene más capacidad de análisis.

Sinó... xq te crees q todos los programadores somos raros???


jajajajaja

Salu2 compañero y felicidades x tu labor antivírica!

Cambia tu avatar y ponte un panda :D
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 02:04:54 pm
Lo sé sisipo, solo enumeraba una serie de tópicos para decir la tontería del día :wink:  me falto añadir "otakus"  :lol:

Citar
Llamadme loco pero yo disfrutaba quitando virus como el junkie que infectaban sin aprovecharse de debilidades del sistema operativo

bueno, hay que reconocer que tienes unas aficiones cuando menos... ehm... peculiares :mrgreen:
Pues nada oye, a ver cuando te fabricas un virus de los que hacen época como el "I love u", pero que deje en las máquinas infectadas publi de los foros de daboweb y nos hacemos famosos todos oleee :lol:

Citar
Salu2 compañero y felicidades x tu labor antivírica!

compañerA  :mrgreen:
Saludetes ;)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: fedelf en 02 de Mayo de 2004, 02:05:39 pm
Sisipo, a mi me parece que los programadores de verdad de virus estan activos, ni el blaster ni el sasser han sido creadas con herramientas automaticas que utilizan los lammer.

El blaster marcara un antes y un despues en la creacion  de virus, el primer virus en la historia que infecta un sistema sin que haya mediacion del usuario, solo estando conectado a internet ya eres vulnerable, el sasser solo sigue el camino marcado por el blaster, y a mi por lo menos me parece que tiene un merito bastante alto. Ya no es suficiente con un buen antivirus actualizado para estar seguro, ahora es tambien necesario un buen firewall para estar protegido de virus. De echo, puede que ninguno de los 2 sea un virus puro, es mas bien una mezcla entre exploit, gusano de internet, virus, en fin, que no creo que lo hayan hecho en 2 dias.

Que conste que no estoy a favor de los creadores de virus, pero no olvidemos que estos empezaron como experimentos de vida artificial.

Ademas, los virus de ahora no son tan dañinos como lo eran antiguamente.
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 02:15:50 pm
Pues yo rompo una lanza a favor de MS :D pienso que en cuento se le encuentra un nuevo fallo se le demoniza enseguida sin pararse a pensar que los programadores no son bots (por muy frikis que sean :mrgreen: ) y pueden errar como todo el mundo... yo creo que Linux solo PARECE más seguro porque se está mucho más pendiente de Windows y que el momento en el que los programadores de virus, exploits y demás juguetes opten por diseccionarlo igual que hacen hasta ahora con el Win, encontrarán vulnerabilidades de sobra, simplemente por eso, porque están hechos por humanos. Claro está, es una apreciación personal de alguien que tiene tanta idea de programación como un chimpancé de ingeniería aeronáutica :mrgreen:

Saludetes ;)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: CAROL en 02 de Mayo de 2004, 02:31:35 pm
ya e conseguio entrar en panda y me a analizado los discos duros a encontrado 6 infectados y los a deshabilitado o eso me a dixo,
La bandeja de correo electronico de hotmail n se me abre... y por aora n me aparece el mensaje de q se me apaga el eqipo
Si es el blaster cmo lo elimino?????
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 02:44:31 pm
Amoavé, que si es el Blaster le vamos a dar de ottias ;)
Lo primero y siempre que tengas que quitar un virus del XP, deshabilitar lo de Restaurar sistema, recuerdas?

# Seleccione, Inicio,  Mi PC
# Haga clic en "Ver información del sistema"
# Seleccione la etiqueta "Restaurar sistema"
# Marque la casilla "Desactivar Restaurar sistema en todas las unidades" y pulse en "Aplicar".
# El sistema le preguntará si está seguro de querer deshabilitarlo. Confírmelo pulsando en SI.
# La opción que muestra el estado de los discos en la ventana "Configuración de la unidad" aparecerá deshabilitada (todo gris). Pulse en el botón Aceptar.

Bájate la herramienta de desinfección del Blaster de aquí http://securityresponse.symantec.com/avcenter/FixBlast.exe

Y el parche para tu sistema operativo de aquí http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=es

Sería bueno que una vez descargadas las 2 cosas te desenchufases de internet para hacer el resto, ya que el blaster se mete en el ordenador simplemente con acceder a la red :?
Bien, primero pasas la herramienta de desinfección, reinicias, instalas el parche y vuelves a pasar la herramienta de desinfección para asegurate de que ha quedado todo limpio.
Si te sale todo bien, acuérdate de volver a habilitar lo de Restaurar sistema:
 Para rehabilitar la opción "Restaurar sistema" repita todos los pasos anteriores, desmarcando en el punto 4  la casilla "Desactivar Restaurar sistema en todas las unidades".
Y claro, vuelve a conectarte a internetes :D

Prueba y nos cuentas, enga, que lo estás haciendo muy bien ;)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: sisipo en 02 de Mayo de 2004, 02:47:31 pm
A ver... yo no creo que un virus lo pueda hacer un lammer, aunque... una persona con conocimientos de vbscript(wsh) trabajando contra Active Directory puede ser muy peligrosa (creación de carpetas inborrables con tamaños de terabytes, eliminación y creación de permisos, renombrado masivo, gestión de usuarios...).

Y tampoco quiero decir que Linux esté más libre de virus, ya que en el momento que las grandes compañías de antivirus fabriken en masa soluciones de software para distros d linux... ya veremos si aparecen o no aparecen nuevos virus para el pinwino :D.

Está claro que el blaster fue uno de los grandes, pero todo estos virus que han aparecido a raíz de este no son más q burdas copias (apertura de sockets, comunicaciones tcp, conexiones a ftps, replicación en carpetas de sistema e incursión en el registro)

Lo que quería decir antes era que no los veía tan elaborados como aquellos virus que se curraban el protocolo de datagramas para enviar info entre pc's x la red (cuándo aun usábamos cable coaxial...). El sasser en cuestión, está hecho en VC++ y utiliza todos los fallos de programación de dicho lenguaje.

Ventajas: Es rápido y fácil de hacer. (sobretodo teniendo las pautas ya definidas del blaster):shock:

Inconvenientes: Cómo pillen al programador no le van a contratar en ninguna empresa de antivirus, ya que hacer un gusanillo en VC no es algo digno de admiración. :twisted:  :twisted:  

Resumiendo, que mi concepto de buen virus no pasa por uno que funcione sólo a raíz de un exploit.

Me parece un tema muy interesante.  Creo q tenía x akí código de WSH para crujir el W2ooo a ver si lo incrusto en el sasser y nos reimos mucho :D:D:D:D (es broma)

Salu2
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: fedelf en 02 de Mayo de 2004, 02:50:24 pm
Joer Miyu, que rapida eres, no ma dao tiempo ni a terminar de buscar la infor para el blaster. :lol:

En cuanto a las vulnerabilidades para Linux, las hay, y se descubren nuevas casi diariamente, pero por la forma de trabajo que se lleva en el software libre, el disponer de un parche o solucion suele ser cuestion de horas. Cuando hay vulnerabilidades muy graves que microsoft todavia no se ha dignado a reparar.

En cuanto a diseccionar linux, pueden hacerlo cuando quieran, por algo esta disponible su codigo fuente para todo el mundo. :lol:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 03:01:18 pm
No te dejes impresionar fedelf, que ha sido gracias a ti :D Cuando te leí en el otro post diciendo que podría ser el blaster eché un vistazo para tenerlo todo más o menos a mano por si se necesitaba :mrgreen: pero amos, que si quieres hacerme alguna reverencia o algo no me importa eh? :mrgreen:  :lol:  :lol:  :wink:
A ver si se le soluciona el problemilla a Carol con eso :?
Saludetes!
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: kabieces en 02 de Mayo de 2004, 04:33:28 pm
Aqui estoy otra vez jeje.
Bueno ahora no vemos que quede ningun destigio del virus en cuanto a archivos dañados se refiere. Pero las consecuencias no lo se porque ahora, el pc va fatal trato de instalar el office y casi no se mueve incluso entrar a una web nos cuesta. No se si es por las consecuencias del virus o porque formateamos mal. ¿alguna orientacion?
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 02 de Mayo de 2004, 05:15:48 pm
hola kavieces:
    Cabría la posibilidad que en medio de todo este jaleo del virus, por algun motivo no formateases o instalases  correctamente windows anteriormente.

Si acabas de formatear , y ahora que dispones de todos los parches de blaster y sasser,  prueba e escribir en ejecutar  sfc/scannow  para restaurar los archivos de sistema, tienes un manual en el foro de windows,  sin conectarte a internet, y despues mete los parches nuevamente por si acaso..

Si aun asi no se corrige, prueba a reinstalar el xp encima del que tienes con la opcion reparar,  aunque  en prevision de que hubiese habido algun error a la hora de formatear e instalar anteriormente,  quizá la opcion más rápida y  acertada fuese formatearlo nuevamente, instalar los parches y drivers, firewall,  antivirus,  etc y actualizar desde el update...  teniendo en cuenta que acabas de hacerlo no tendras muchas cosas para salvar...

Un saludo
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: CAROL en 02 de Mayo de 2004, 09:45:10 pm
y el virus ese q nos esta dando tanto la lata es el AVSERVE DEL ORDENA? eso lo elimine cmo me dijisteis : avserve2 se llamaba y eso, aora me toy descargando lo del blaster por si acaso, ganas de dar la lata los hackers estos... :D
Gracias a tos!!aupa miyu y los demas tb jeje
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 09:52:14 pm
Reholas Carol, lo que pasha es que han salido ya otras 2 nuevas variantes del maldito virus que trae loco a todo el mundo, por ejemplo la entrada del registro que dices que has eliminado la avserve2 es de la variante B  :?
Prueba lo del blaster, y si sigue dándote problemas haz un nuevo scan con el antivirus para eliminar posibles rastros y vuelves a instalarte el parche (el primero que te instalaste de todos :D ) porque si lo instalas estando infectada seguirá dándote la lata  :?

Enga suerte y nos vas diciendo ;)
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Dabo en 02 de Mayo de 2004, 10:02:34 pm
venga Carol que salimos de esta y de mas  :lol:  :lol:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: CAROL en 02 de Mayo de 2004, 10:15:57 pm
jejeje, por aora la cosa va bien, el ordena me funciona cn toda normalidad e vuelto a darle un repasillo al panda y me pone qe n me encuentra virus y tal... la cosa va bn, me descarge to lo q me dijiste (miyu) del blaster y no an encntrado virus, y el ordenador lo llevo encendido desde las 9 y n me a avisao de q se me apage ni nada. aver si es verdad jejeje :D  :D
un besito y aver si to sale bn
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Dabo en 02 de Mayo de 2004, 10:17:27 pm
seguro que si, lo veras

saludos  :!:
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: Miyu en 02 de Mayo de 2004, 10:18:55 pm
De p. madre Carol :D
Cualquier otro problemilla que surja ya sabes ;) (cruza los dedosss  :lol: )
Saludetes!
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: CAROL en 02 de Mayo de 2004, 10:30:20 pm
y dos cosillas mas,
Me voy a bajar el kazaa o emule, tng tarifa plana y quero bajarme musica, cual me recomendas?¿? esq alomejor lo qe me a metio el virus es el kazaa qe lo tenia antes... y me da miedo bajarmelo aora por si acaso.
Y otra cosilla lo de un antivirus majo pa q me detecte los virus o algo, cual me recomendas? besitossssss
Título: NUEVO VIRUS W32/SASSER.A
Publicado por: destroyer en 02 de Mayo de 2004, 10:33:36 pm
Hola Carol:
  ve al indice de los foros y echa un vistazo en el foro de emule y p2p  y en el foro de Novedades hard y soft...

http://www.daboweb.com/foros/
Un saludo