SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
NUEVO VIRUS W32/SASSER.A
sisipo:
POST EDITADO POR DABO, WEBMASTER, A LAS 2,13 H DEL 2 DE MAYO
AQUI EL METODO DE DESINFECCION DEL VIRUS W32/SASSER.A
pinchar debajo
http://www.daboweb.com/foros/index.php?topic=4092.0
con capturas de pantalla y toda la informacion parches
saludos, en el link de arriba os iremos informando de como va todo
-----------------------------------------------------------------------------------
Ojo con este gusano!!!
Se transmite x las redes p2p y es el primer gusano que vulnera el proceso LSASS (Local Security Authority Subsystem).
Este proceso es el encargado de gestionar los controles de acceso y las políticas de dominio.
Se copia en la carpeta c:\windows\avserve.exe
Genera una entrada en el registro: HKLM\software\microsoft\windows\currentversion\run --> avserve=avserve.exe
Os adjunto el link de M$ para bajaros el parche para xp
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es
Este virus funciona también bajo 98, Me y 2000
Salu2
Miyu:
Gracias sisipo, la verdad es que parece que está revolucionado el tema hoy con ésto :shock:
Pego lo que puse en el otro post:
Por lo visto se trata de una nueva vulnerabilidad de los sistemas operativos microsoft que afecta a win2k, Xp, Xp 64 bit y server 2003. Afecta al componente LSASS (Local Security Authority SubSystem) y permite ejecutar código de forma arbitraria, de forma remota en 2000 y xp y local para el 64 bit y 2003.
Aquí dejo la dire para descargar los parches para los S.O. afectados (ojo, es el parche para evitar la vulnerabilidad que deja paso a éste virus, no la solución al virus en sí)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
(acordaos de descargar el parche en el idioma en el que tengáis el S.O.)
Para detener el reinicio del ordenador y poder hacer lo del parche tranquilamente, vete a Inicio/Ejecutar, escribe cmd y acepta. En la consola de msdos que te saldrá, escribe shutdown -a y eso cancelará el reinicio.
Miyu:
Virus: WIN32/SASSER.A
- INFORMACION sobre el virus:
Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en el parche MS04-011. Solo afecta computadoras bajo Windows XP o 2000, que no posean dicho parche instalado.
- CARACTERISTICAS
Existe una posible infección cuando se producen continuos cuelgues del proceso LSASS.EXE, y existe el siguiente archivo en el sistema:
c:\win.log
Se genera tráfico excesivo en los siguientes puertos TCP:
445, 5554 y 9996
Análisis:
El gusano es un archivo de 15,872 bytes.
El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:\windows\avserve.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
También crea el siguiente archivo:
c:\win.log
Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = c:\windows\avserve.exe
El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).
Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.
En Windows XP, muestra una ventana con un mensaje muy similar al siguiente:
LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.
En Windows 2000 se muestra una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.
El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).
Windows 9x, Me y NT, no son vulnerables.
Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.
A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE), provocando la infección.
El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.
El archivo C:\WIN.LOG registra todas las transacciones FTP realizadas.
El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
Jobaka3l
El uso de un cortafuego personal, disminuye el riesgo de infección.
- INSTRUCCIONES PARA ELIMINARLO
1. Descargue e instale el parche MS04-011 y luego reinicie el equipo:
Microsoft Security Bulletin MS04-011
www.microsoft.com/technet/security/bulletin/ms04-011.mspx
Enlace en spanish
http://www.vsantivirus.com/vulms04-011.htm
2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
3. Elimine bajo la columna Nombre, la entrada avserve, en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
4. En Windows NT, 2000 y XP, abra la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
5. Cierre el editor del registro.
6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Info sacada de http://www.enciclopediavirus.com/virus/vervirus.php?id=821&alerta=1
Antivirus online http://www.pandasoftware.es/activescan/es/activescan_principal.htm
Destroyer
Importante:
En Windows XP y Windows ME debemos deshabilitar la opción "Restaurar Sistema" antes de proceder a la limpieza de éste y otros virus. Sigue éste enlace si no sabes cómo hacerlo
XP
http://www.vsantivirus.com/faq-winxp.htm
ME
http://www.vsantivirus.com/faq-winme.htm
Y ademas despues de su eliminacion, activar el firewall del xp o bien instalar uno.
Para activar el firewall del XP:
1. Inicio, Panel de Control, Conexiones de Red
2. Botón derecho sobre la conexion a Internet, y seleccionar Propiedades.
3. En la pestaña "Avanzadas" señalar la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"
4. Aceptar.
Aqui teneis un enlace de descarga y manual de uso, por si decidis instalar el firewall ZoneAlarm..
http://www.daboweb.com/foros/index.php?topic=2420.0
jontxudj:
Atención!!! dependiendo de que servipack tengais instalado en el XP teneis que poner un parche determinado, mirad aquí.
http://www.vsantivirus.com/vulms04-011.htm
Saludos y gracias por el aviso.
destroyer:
Pues en principio la cosa parece seria, asi q a parchear antes de nada..
Gracias amigos
un saludo
Navegación
[#] Página Siguiente
Ir a la versión completa