Daboweb

Vacuna y desinfección virus Sasser

Publicado por Dabo on febrero 13, 2005
Seguridad Informática

Procedimiento de limpieza y descarga de la vacuna para eliminar el virus sasser, que se propaga" explotando la vulnerabilidad LSASS (Local Security Authority Subsystem)…

DESINFECCION DEL VIRUS W32/SASSER


CONVIENE IMPRIMIR POR SI REINICIA

Tras las numerosas consultas del dia de hoy sobre este problema, y recabando la informacion que se ha ido plasmando en el foro hemos redactado esta pequeña guia, que esperamos os sea de utilidad, no obstante si alguien observara algun error agradeceriamos lo expusiese, este virus entra tipo el blaster y por la ausencia de una actualización de Windows en vuestro PC

Pantallas que muestra…


Image


Image


———————————————————————

RESUMEN DE ACTUACION

1º PASO)

Detener el reinicio del pc.

Para detener el reinicio del ordenador y poder descargar el parche tranquilamente, ve a Inicio/Ejecutar, escribe cmd y acepta. (o pulsa la tecla intro) En la consola de msdos que te saldrá, escribe shutdown -a y despues da a intro y eso cancelará el reinicio.

-O bien retrasa el reloj de windows
————————————————————————————

2º PASO), APLICAR EL PARCHE DE MICROSOFT

Arrow APLICAR EL PARCHE DE MICROSOFT

Seleccionar el parche de microsoft, dependiendo de nuestro sistema operativo e idioma

(Para conocer nuestro sistema operativo…. panel de control, sistema, pestaña general. )

Aqui estan todos los win xp y 2000, debes seleccionar el que tengas instalado y su idioma:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


Aqui teneis el parche de microsoft, ya en idioma español para los que useis win xp y win xp+sp 1 en español

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es

————————————————————————————

3er PASO),

Arrow APLICAR VACUNA O HERRAMIENTA DE DESINFECCION, DE MICROSOFT

La Herramienta de eliminación de software malintencionado comprueba equipos con Windows XP, Windows 2000 y Windows Server 2003 y ayuda a eliminar las infecciones producidas por este tipo de software, incluidas las infecciones con Blaster, Sasser y Mydoom.

Windows-KB890830-V1.1-ESN.exe



O BIEN:

McAfee AVERT Stinger:

http://download.nai.com/products/mcafee-avert/stinger.exe

SRL (NOD 32):

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sasser



————————————————————————————-



AQUI UNA EXPLICACION DE COMO ACTUA EL VIRUS, AL FINAL DE ELLA TENEIS INSTRUCCIONES DE COMO LIMPIAR MANUALMENTE SI FALLA EL PARCHE DE MICROSOFT


W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS

http://www.vsantivirus.com/sasser-a.htm

Nombre: W32/Sasser.A
Tipo: Gusano de Internet
Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A,
WORM_SASSER.A
Plataforma: Windows NT, 2000, XP
Fecha: 1/may/04
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de un gusano de redes, programado en Visual C++, que
se propaga explotando la vulnerabilidad en el proceso LSASS
(Local Security Authority Subsystem), reparada por Microsoft
en su parche MS04-011 (ver "MS04-011 Actualización crítica de
Windows (835732)", http://www.vsantivirus.com/vulms04-
011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el
parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema. La naturaleza de esta
vulnerabilidad, se presta a ser explotada por un gusano o
virus informático, capaz de propagarse por las redes, y
"Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el
siguiente nombre:

c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).

También crea el siguiente archivo:

c:\win.log

Modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = c:\windows\avserve.exe

El gusano inicia 128 hilos de ejecución para escanear
direcciones IP seleccionadas al azar por el puerto TCP/445,
buscando sistemas vulnerables (TCP/445 es el puerto por
defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no
tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy
similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 puede aparecer una ventana casi idéntica a la
provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante

para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza
diferentes exploits para Windows XP y Windows 2000 (exploit
universal), y para Windows 2000 Advanced Server (SP4
exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos),
es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar
y ejecutar el gusano desde la computadora infectada,
utilizando el protocolo FTP. Para ello, se crea y ejecuta en
dicho equipo un script llamado CMD.FTP. El script descarga y
ejecuta a su vez al gusano propiamente dicho (con el nombre
#_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los
equipos infectados, con el propósito de permitir la descarga
del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP
realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de
una vez en memoria.


4er PASO), CONSEJOS Y ACTUACIONES A LLEVAR A CABO

PROCEDIMIENTO MANUAL TRAS APLICAR EL PARCHE


Deshabilitar los recursos compartidos

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados, si alguno no puede borrarlo por indicarle que esta en uso cierre el pocedo en el administrador de tareas..


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:
(En caso de no encontrarlos quizá estuviesen ocultos, por lo cual, abre panel de control, pulsa en OPCIONES DE CARPETA pulsa en la pestaña VER, y selecciona mostrar los archivos y carpetas ocultos)

c:\win.log
c:\windows\avserve.exe
c:\windows\system32\#_up.exe (varias copias)

Donde # es un número de cinco dígitos, ejemplos:

c:\windows\system32\15643_up.exe
c:\windows\system32\12383_up.exe
c:\windows\system32\21730_up.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Limpieza manual del registro

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

2. Elimine bajo la columna Nombre, la entrada avserve, en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

.- En Windows NT, 2000 y XP, abra la siguiente clave del registro para buscarla:

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon

3. Cierre el editor del registro.

4. Reinicie el equipo

5. Escanee nuevamente con su antivirus para confirmar la eliminacion del virus


Importante:

En Windows XP debemos deshabilitar la opción "Restaurar Sistema" antes de proceder a la limpieza de éste y otros virus. Sigue éste enlace si no sabes cómo hacerlo

XP
http://www.vsantivirus.com/faq-winxp.htm

ME
http://www.vsantivirus.com/faq-winme.htm


Y ademas despues de su eliminacion, activar el firewall del xp o bien instalar uno.

Activar el firewall del XP:

1. Inicio, Panel de Control, Conexiones de Red

2. Botón derecho sobre la conexion a Internet, y seleccionar Propiedades.

3. En la pestaña "Avanzadas" señalar la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"

4. Aceptar.


Aqui teneis tambien un enlace de descarga y manual de uso, por si decidis instalar el firewall ZoneAlarm..

http://www.daboweb.com/phpBB2/viewtopic.php?t=2420


Un saludo


PARA MAS INFORMACION, ENTRA EN EL FORO

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

1 comentario to Vacuna y desinfección virus Sasser

[…] un tiempo en Daboweb, recordamos como si fuera ayer infecciones masivas como las del Blaster o Sasser (publicado aquí). Conficker es como un “remake” pero más elaborado y el modus […]