SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
NUEVO VIRUS W32/SASSER.A
Miyu:
Kabieces, si dentro de Winlogon habèis encontrado la entrada avserve que sería la que indica que está infectado, lo que tienes que hacer es eliminarla, clikas con el botón derecho del ratón sobre ella y Eliminar.
Después debes reiniciar y pasar un anti actualizado, ok?
Enlace al anti on-line de Panda http://www.pandasoftware.es/activescan/es/activescan_principal.htm
Danae:
Dabo, creo que puede ser complementario, si vés que no, sencillamente lo borras, ok?
---------------------------------------------------------
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
_____________________________________________________________
http://www.vsantivirus.com/sasser-a.htm
Nombre: W32/Sasser.A
Tipo: Gusano de Internet
Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A,
WORM_SASSER.A
Plataforma: Windows NT, 2000, XP
Fecha: 1/may/04
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996
Se trata de un gusano de redes, programado en Visual C++, que
se propaga explotando la vulnerabilidad en el proceso LSASS
(Local Security Authority Subsystem), reparada por Microsoft
en su parche MS04-011 (ver "MS04-011 Actualización crítica de
Windows (835732)", http://www.vsantivirus.com/vulms04-
011.htm).
Afecta computadoras que corran bajo Windows XP o 2000, sin el
parche MS04-011 instalado.
LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema. La naturaleza de esta
vulnerabilidad, se presta a ser explotada por un gusano o
virus informático, capaz de propagarse por las redes, y
"Sasser" es el primero que la utiliza.
El gusano se copia a si mismo en la carpeta de Windows con el
siguiente nombre:
c:\windows\avserve.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).
También crea el siguiente archivo:
c:\win.log
Modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = c:\windows\avserve.exe
El gusano inicia 128 hilos de ejecución para escanear
direcciones IP seleccionadas al azar por el puerto TCP/445,
buscando sistemas vulnerables (TCP/445 es el puerto por
defecto para el servicio vulnerable).
Esto ocasiona a veces, el fallo de las computadoras que no
tienen el parche MS04-011 instalado.
En Windows XP, se muestra una ventana con un mensaje muy
similar al siguiente:
LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.
En Windows 2000 puede aparecer una ventana casi idéntica a la
provocada en Windows XP por el gusano Blaster (Lovsan):
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.
El gusano detecta la versión del sistema operativo, y utiliza
diferentes exploits para Windows XP y Windows 2000 (exploit
universal), y para Windows 2000 Advanced Server (SP4
exploit).
Windows 9x, Me y NT, no son vulnerables.
Si el ataque es exitoso, un shell (intérprete de comandos),
es iniciado en el puerto TCP/9996.
A través del shell, se instruye al equipo remoto a descargar
y ejecutar el gusano desde la computadora infectada,
utilizando el protocolo FTP. Para ello, se crea y ejecuta en
dicho equipo un script llamado CMD.FTP. El script descarga y
ejecuta a su vez al gusano propiamente dicho (con el nombre
#_UP.EXE), provocando la infección.
El servidor FTP escucha por el puerto TCP/5554 en todos los
equipos infectados, con el propósito de permitir la descarga
del gusano en otros sistemas que así también son infectados.
El archivo C:\WIN.LOG registra todas las transacciones FTP
realizadas.
El gusano crea el siguiente mutex para no ejecutarse más de
una vez en memoria:
Jobaka3l
Saludos :lol: :lol:
iker:
Me pone:
Sistema
Microsoft Windows XP
Profesional
Version 2002
voy a probar Microsoft Windows XP and Microsoft Windows XP Service Pack 1
Gracias
BuHo:
Joder, esto es lo que pasa por no parchear cuando hay que parchear. El fallo en cuestion del LSASS salio poco antes de abril, era normal que saliera un bicho que se aprovechase, pero bueno, si ahora ocurre nuevamente una catastrofe como con el blaster... yo no tengo dudas, la culpa es de la gente por no informarse, porque el parche creo que ya tiene varias semanas...
En fin, estaremos dando cobertura y ayuda.
Un saludo.
destroyer:
hola:
Es importante desactivar el restaurador del sistema de windows para realizar la limpieza del este y cualquier virus..
http://www.vsantivirus.com/faq-winxp.htm
y ademas despues de su eliminacion, activar el firewall del xp o bien instalar uno.
Para activar el firewall del XP:
1. Inicio, Panel de Control, Conexiones de Red
2. Botón derecho sobre la conexion a Internet, y seleccionar Propiedades.
3. En la pestaña "Avanzadas" señalar la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"
4. Aceptar.
Aqui teneis un enlace de descarga y manual de uso, por si decidis instalar el firewall, zone alarm..
http://www.daboweb.com/foros/index.php?topic=2420
Un saludo
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa