Autor Tema: NUEVO VIRUS W32/SASSER.A  (Leído 54367 veces)

Desconectado Miyu

  • Pro Member
  • ****
  • Mensajes: 508
NUEVO VIRUS W32/SASSER.A
« Respuesta #30 en: 01 de Mayo de 2004, 07:43:34 pm »
Kabieces, si dentro de Winlogon habèis encontrado la entrada avserve que sería la que indica que está infectado, lo que tienes que hacer es eliminarla, clikas con el botón derecho del ratón sobre ella y Eliminar.
Después debes reiniciar y pasar un anti actualizado, ok?
Enlace al anti on-line de Panda http://www.pandasoftware.es/activescan/es/activescan_principal.htm

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
NUEVO VIRUS W32/SASSER.A
« Respuesta #31 en: 01 de Mayo de 2004, 07:49:35 pm »
Dabo, creo que puede ser complementario, si vés que no, sencillamente lo borras, ok?
---------------------------------------------------------

VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
_____________________________________________________________

http://www.vsantivirus.com/sasser-a.htm

Nombre: W32/Sasser.A
Tipo: Gusano de Internet
Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A,
WORM_SASSER.A
Plataforma: Windows NT, 2000, XP
Fecha: 1/may/04
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de un gusano de redes, programado en Visual C++, que
se propaga explotando la vulnerabilidad en el proceso LSASS
(Local Security Authority Subsystem), reparada por Microsoft
en su parche MS04-011 (ver "MS04-011 Actualización crítica de
Windows (835732)", http://www.vsantivirus.com/vulms04-
011.htm).

Afecta computadoras que corran bajo Windows XP o 2000, sin el
parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema. La naturaleza de esta
vulnerabilidad, se presta a ser explotada por un gusano o
virus informático, capaz de propagarse por las redes, y
"Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el
siguiente nombre:

  c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).

También crea el siguiente archivo:

  c:\win.log

Modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  avserve = c:\windows\avserve.exe

El gusano inicia 128 hilos de ejecución para escanear
direcciones IP seleccionadas al azar por el puerto TCP/445,
buscando sistemas vulnerables (TCP/445 es el puerto por
defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no
tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy
similar al siguiente:

  LSA Shell (Export Version) ha encontrado un problema
  y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 puede aparecer una ventana casi idéntica a la
provocada en Windows XP por el gusano Blaster (Lovsan):

  Apagar el sistema

  Se está apagando el sistema. Guarde todo
  trabajo en curso y cierre la sesión. Se perderá
  cualquier cambio que no haya sido guardado.
  El apagado ha sido iniciado por NT
  AUTORITHY\SYSTEM

  Tiempo restante
  para el apagado: xx:xx:xx

  Mensaje
  El proceso del sistema
  C:\WINNT\system32\lsass.exe terminó
  de forma inesperada indicando código 0
  Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza
diferentes exploits para Windows XP y Windows 2000 (exploit
universal), y para Windows 2000 Advanced Server (SP4
exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos),
es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar
y ejecutar el gusano desde la computadora infectada,
utilizando el protocolo FTP. Para ello, se crea y ejecuta en
dicho equipo un script llamado CMD.FTP. El script descarga y
ejecuta a su vez al gusano propiamente dicho (con el nombre
#_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los
equipos infectados, con el propósito de permitir la descarga
del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP
realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de
una vez en memoria:

  Jobaka3l

Saludos  :lol:  :lol:

Desconectado iker

  • Newbie
  • *
  • Mensajes: 3
NUEVO VIRUS W32/SASSER.A
« Respuesta #32 en: 01 de Mayo de 2004, 07:50:19 pm »
Me pone:

Sistema
Microsoft Windows XP
Profesional
Version 2002

voy a probar Microsoft Windows XP and Microsoft Windows XP Service Pack 1

Gracias

Desconectado BuHo

  • Pro Member
  • ****
  • Mensajes: 733
    • La Estancia Azul
NUEVO VIRUS W32/SASSER.A
« Respuesta #33 en: 01 de Mayo de 2004, 07:54:30 pm »
Joder, esto es lo que pasa por no parchear cuando hay que parchear. El fallo en cuestion del LSASS salio poco antes de abril, era normal que saliera un bicho que se aprovechase, pero bueno, si ahora ocurre nuevamente una catastrofe como con el blaster... yo no tengo dudas, la culpa es de la gente por no informarse, porque el parche creo que ya tiene varias semanas...

En fin, estaremos dando cobertura y ayuda.

Un saludo.
Wake up BuHo...
Daboweb has you[/color]
Mi blog: La Estancia Azul

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
NUEVO VIRUS W32/SASSER.A
« Respuesta #34 en: 01 de Mayo de 2004, 07:55:34 pm »
hola:
Es importante desactivar el restaurador del sistema de windows para realizar la limpieza del este y cualquier virus..

http://www.vsantivirus.com/faq-winxp.htm

y ademas despues de su eliminacion, activar el firewall del xp  o bien instalar uno.


Para activar el firewall del  XP:

1. Inicio, Panel de Control, Conexiones de Red

2. Botón derecho sobre la conexion a Internet,  y seleccionar Propiedades.

3. En la pestaña "Avanzadas" señalar  la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet"

4. Aceptar.


Aqui teneis un enlace de descarga y manual de uso,  por si decidis instalar el firewall,  zone alarm..

http://www.daboweb.com/foros/index.php?topic=2420


Un saludo

Desconectado Miyu

  • Pro Member
  • ****
  • Mensajes: 508
NUEVO VIRUS W32/SASSER.A
« Respuesta #35 en: 01 de Mayo de 2004, 07:59:59 pm »
Megde es cierto, se me pasó lo del restaurador del sistema  :x lo pego en el post del principio también, Dest?  :oops:

Iker, ése debería irte bien, nos cuentas ;)

Y BuHo está en lo cierto, de hecho el parche venía ya dentro de la última de las actualizaciones críticas y a mí entre otros no me ha afectado porque suelo andar al día con eso. Hay que darse un paseo por el Windows Update de vez en cuando, que se pueden evitar casos como éste  :roll:

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
NUEVO VIRUS W32/SASSER.A
« Respuesta #36 en: 01 de Mayo de 2004, 08:04:32 pm »
Ok miyu..

Es normal, con tanto stress...   :wink:

Un saludo

Desconectado iker

  • Newbie
  • *
  • Mensajes: 3
NUEVO VIRUS W32/SASSER.A
« Respuesta #37 en: 01 de Mayo de 2004, 08:44:43 pm »
Ya he conseguido solucionarlo, a la segunda (resulta que lo tenía en inglés)

He bajado y ejecutado el parche y parece q todo va bien. Eso si en el registro no me aparecia nada de avserve en el directorio q pusisteis.

Gracias a todos

Desconectado Miyu

  • Pro Member
  • ****
  • Mensajes: 508
NUEVO VIRUS W32/SASSER.A
« Respuesta #38 en: 01 de Mayo de 2004, 08:47:15 pm »
Me alegro iker  :wink:

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
NUEVO VIRUS W32/SASSER.A
« Respuesta #39 en: 01 de Mayo de 2004, 08:47:41 pm »
un saludo amigo...   :wink:

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License