[HOAX] Formatear despues de cojer el Sasser

04/05/2004 - 11:59 por SemiP | Informe spam
Varios MVP y Vulpes estn incitando a Formatear si te has infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS y la utilidad de borrar al bicho es suficiente:
http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda el tiempo y quizas dinero.

Animo a denunciarlo a Microsoft.


Preguntas similare

Leer las respuestas

#11 Diego Calleja García
04/05/2004 - 12:39 | Informe spam
El Tue, 4 May 2004 11:59:58 +0200 "SemiP" escribió:

Varios MVP y Vulpes estn incitando a Formatear si te has infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS y la utilidad de borrar al bicho es suficiente:
http://www.microsoft.com/security/i...sasser.asp




Señor Don Pablo, LE RUEGO que no confunda a los usuarios.


1) Tal y como ha posteado Vulpes, si salta la cuenta atras de lsass.exe,
NO TIENE PORQUE SER UN VIRUS, puede ser perfectamente un script-kiddie
rastreando IPs vulnerables (por ejemplo, con la herramienta que puso
Vulpes de ejemplo


2) El Virus Sassare crea una SHELL REMOTA en el puerto 9996, es decir, una
puerta trasera que permite enviar comandos. CUALQUIER comando. Esto implica
que un script kiddie puede (y de hecho, estan haciendolo) rastrear IPs no
en busqueda de ordenadores a los que atacar, sino a ordenadores _atacados_
con esa shell remota. El "servidor FTP" que usted mencionó previamente se
activa _a traves_ de esa shell remota. Es decir, es IMPOSIBLE IMPOSIBLE
IMPOSIBLE saber si alguien ha metido algo mas en el sistema limpio despues
de haber sido infectado. Por lo tanto, la UNICA solución es formatear.


Para mas referencias, extractos de las páginas de marcas antivirus que la
propia microsoft referencia desde el enlace que ha puesot (y que obviamente
usted y otros no han leido):

o McAffe (http://vil.nai.com/vil/content/v_125007.htm)
"This worm scans random IP addresses for exploitable systems. When one is found, the worm exploits the vulnerable system, by overflowing a buffer in LSASS.EXE. It creates a remote shell on TCP port 9996. (REMOTE SHELL, ¿lo ve bien Don Pablo?)
Next it creates an FTP script named cmd.ftp on the remote host and executes it. "

o Norman antivirus (http://www.norman.com/Virus/Virus_d...tructivity)
"As part of the infection process, the worm sets up backdoors on infected computers.
- a remote shell on port 9996/tcp
- a FTP server on port 5554/tcp"

o Panda Software( http://www.pandasoftware.com/virus_...dvirusF865)

"If so, Sasser.A opens a shell in the TCP port 9996, with which it sends several commands through the TCP port 5554. Sasser.A downloads itself through the TCP port 5554 to the vulnerable computer via FTP."

o Symantec(http://securityresponse.symantec.co....worm.html)

"If a connection is made to a computer, the worm will send shellcode to that computer, which may cause it to run a remote shell on TCP port 9996."

o TrendMicro (http://www.trendmicro.com/vinfo/vir...mp;VSect=T)

"The resulting overflow allows the malware to listen to TCP port 9996, which instructs it to spawn a command shell. The malware then creates the script file CMD.FTP that contains instructions for the vulnerable system to download and execute a copy of this malware via FTP.
The infected host then opens TCP port 5554 to accept any FTP requests from infected remote systems."

o http://www3.ca.com/threatinfo/virus...spx?id9012
"The worm uses this to open a remote shell, listening on port 9996. It connects to this port and uses the shell to create an ftp script called "cmd.ftp" on the remote machine"



Esto va por usted y por todos los ignorantes anónimos que hablan sin saber

Diego Calleja
Respuesta Responder a este mensaje
#12 JM Tella Llop [MVP Windows]
04/05/2004 - 12:40 | Informe spam
Explica entonces los scripts y su funcionamiento. No el virus en si, que como te han comentado lo quita un niño:

¿no es peligroso que?

* Todas las password de nuestra maquina hayan sido capturadas.
* Informacion tecleadas en paginas que necesitan maxima seguridad como:
*Informacion y transacciones bancarias.
*Comparas por internet, tarjetas de credito
*Certificados digitales, de haciend, etc.
*Resto de informacion confidencial.

Es capturado por lo "regalitos". y enviada la informacion a la red.

*Colocar Zombies en la maquina preaprados para despertar ante solicitus del que los ha metido.


En base a eso, ¿te atreves todavia a informar y CERTIFICAR que *NO* es necesario formateo?. Haz esta CERTIFICACION con tu nombre y apellidos: Pablo Lleo Garcia.

No se si es desinformacion por tu parte, odio acerrimo a Vulpes porque te va a formar un expediente laboral, odio hacia mi porque en diversas ocasiones he demostrado tu desconocimientos de los temas y los interese personales que tienes con AMD falsenado informacion a proposito, o bien si lo que pasa es que eres uno de esos interesados en poseer informacion reservada de otros PC's pero en cualquier caso, indica bajeza moral, y una catadura digna de un delincuente lo que quieres hacer.




Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"SemiP" wrote in message news:u%
Varios MVP y Vulpes estn incitando a Formatear si te has infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS(TAPA EL AGUJERO) y la utilidad de borrar al bicho es suficiente:
http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda el tiempo y quizas dinero. Una vez metido el parche ya sera
imposible el exploit

Animo a denunciarlo a Microsoft.






"ABC" escribió en el mensaje news:
Solo espero que su jefe tenga un mínimo de conocimientos informáticos para
que sepa evaluar en su justa medida mensajes como el que acaba de poner en
horario laboral.
Si fuera en mi empresa ya estaba en la calle.



_





"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:
Las opiniones personales de un personajillo como tu: AIRIS no tiene AMD y
ademas es carisimo, no son precisamente ni tecnicas, ni tienen ningun valor.

Solo denotan incultura, mala fe, desconocimiento absoluto de cualquier tema
informatico, y rencor personal.

La profesionalidad te falta: esta debe estar por encima de tus odios
personales.

Ahora bien, simplemente como Vulpes va a comer con tus jefes esta semana por
motivos laborales de su empresa, y como resulta que lleva tambien toda la
documentacion, de un empleado, tu, que desde el trabajo está perdiendo el
tiempo en muchas ocasiones escribiendo cizaña en los grupos, por ello, y
simplemente por ello, estas rabioso y desinformando a proposito.

Estoy de acuerdo en todo lo informado por Vulpes en su post, ya que es un
verdadero profesional de la informatica.

Intentas desinformar a proposito y esto es muy peligroso.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"SemiP" wrote in message
news:
> Varios MVP y Vulpes estn incitando a Formatear si te has infectado por el
Sasser.
>
> NO LES HAGAS CASO, con pasar el parche de MS y la utilidad de borrar al
bicho es suficiente:
> http://www.microsoft.com/security/i...sasser.asp
>
> Y el punto 10 es un HOAX para que el que lo lea pierda el tiempo y quizas
dinero.
>
> Animo a denunciarlo a Microsoft.
>
>
>
>
>
> "Antonio Amengual[MSMVP]" escribió en el
mensaje news:%23qkpj$
>> asi me gusta dando "buenos consejos", que otros bichos han entrado aparte
>> del sasser?
>> cuando te violen tu pc, a ver si sehuirás dando esos consejos
>> se nota que sigues siendo un inutil
>>
>> Bienvenidos al sitio de MVP de Microsoft
>> > http://mvp.support.microsoft.com/
>> >
>> > Recuerda: Una Consulta, Un Foro:
>> > news:microsoft.public.es.outlookexpress
>> > news:microsoft.public.es.windowsxp
>> > news:microsoft.public.es.windowsxp.aplicaciones
>> > news:microsoft.public.es.windowsxp.hardware
>> > news:microsoft.public.es.windowsxp.instalacion
>> > news:microsoft.public.es.windowsxp.seguridad
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no
>> otorga ningún derecho.
>>
>> This posting is provided "AS IS" with no warranties, and confers no
rights.
>> You assume all risk for your use.
>>
>>
>> XP Pro-2600-limpia+SP1
>>
>> por favor
>> respuestas al grupo; asi nos beneficiamos todos
>> no se responde personalmente
>>
>> saludos
>>
>> Antonio
>> ms mvp windowsxp shell user
>>
>> "SemiP" wrote in message
>> news:
>> > Varios MVP y Vulpes estn incitando a Formatear si te has infectado por
el
>> > Sasser.
>> >
>> > NO LES HAGAS CASO, con pasar el parche de MS y la utilidad de borrar al
>> > bicho es suficiente:
>> > http://www.microsoft.com/security/i...sasser.asp
>> >
>> > Y el punto 10 es un HOAX para que el que lo lea pierda el tiempo y
quizas
>> > dinero.
>> >
>> > Animo a denunciarlo a Microsoft.
>> >
>> >
>> >
>> >
>> >
>>
>>
>
>






Respuesta Responder a este mensaje
#13 SemiP
04/05/2004 - 12:41 | Informe spam
Varios MVP y Vulpes estan incitando a Formatear si te has infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS(TAPA EL AGUJERO) y la utilidad de borrar al bicho es suficiente:
http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda el tiempo y quizas dinero. Una vez metido el parche ya sera
imposible el exploit

Animo a denunciarlo a Microsoft.






"JM Tella Llop [MVP Windows]" escribió en el mensaje news:
Explica entonces los scripts y su funcionamiento. No el virus en si, que como te han comentado lo quita un niño:

¿no es peligroso que?

* Todas las password de nuestra maquina hayan sido capturadas.
* Informacion tecleadas en paginas que necesitan maxima seguridad como:
*Informacion y transacciones bancarias.
*Comparas por internet, tarjetas de credito
*Certificados digitales, de haciend, etc.
*Resto de informacion confidencial.

Es capturado por lo "regalitos". y enviada la informacion a la red.

*Colocar Zombies en la maquina preaprados para despertar ante solicitus del que los ha metido.


En base a eso, ¿te atreves todavia a informar y CERTIFICAR que *NO* es necesario formateo?. Haz esta CERTIFICACION con tu nombre y
apellidos: Pablo Lleo Garcia.

No se si es desinformacion por tu parte, odio acerrimo a Vulpes porque te va a formar un expediente laboral, odio hacia mi porque en
diversas ocasiones he demostrado tu desconocimientos de los temas y los interese personales que tienes con AMD falsenado informacion
a proposito, o bien si lo que pasa es que eres uno de esos interesados en poseer informacion reservada de otros PC's pero en
cualquier caso, indica bajeza moral, y una catadura digna de un delincuente lo que quieres hacer.



Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"SemiP" wrote in message news:
Varios MVP y Vulpes estn incitando a Formatear si te has infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS(TAPA EL AGUJERO) y la utilidad de borrar al bicho es suficiente:
http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda el tiempo y quizas dinero. Una vez metido el parche ya sera
imposible el exploit

Animo a denunciarlo a Microsoft.





"Vulpes" escribió en el mensaje news:7ef801c431c1$7240b930$
Desinformacion dada a proposito. Parcial e incompleta.

Primero, la propia informacion de Microsoft ante Blaster
y "similares":
http://support.microsoft.com/?kbid‚6955

<abofeteo>
Recovery
Best practices for security suggest that you perform a
complete "clean" installation on a previously compromised
computer to remove any undiscovered exploits that can lead
to a future compromise.
</abofeteo>

Este personaje llamado SemiP, parece que es uno de los mas
interesados, en desvirtuar la informacion. Bine por
cuestiones personales -que indican bajeza moral, pero ya
le conoceis todos- o bien porque está metido, o quiere
meterse en el submundo del hacking. Todos teneis frescas
sus informaciones paranoicas sobre AIRIS y AMD. (buscar
los hilos), por lo que en vez de informar hay un
resentimiendo y odio contra la informacion veraz.

Pasemos a ver el porqué es peligrosa esta situacion, y no
por el virus en si, que es realmente un virus de risa en
el sentido que cualquiera puede quitarlo de la maquina sin
necesitad de herramientas. Solo con un poco conocimento
que no va mas allá del que tiene cualquier usuario
avanzado.

Los script-kiddies (mierdacrios en castellano) son los mas
interesados en distribuir este tipo de informacion, porque
se les termina el chollo de entrar en otras maquinas y de
tener miles de maquinas zombies a su disposicion.


Mi opinion es la misma que la VsAntivirus:
http://www.vsantivirus.com/faq-sasser.htm#10

Dejo esta informacion debajo, para que juzgueis lo que
esos energumenos pueden hacer con nuestras maquinas:


Desde el 25 de Abril, anda en manos de los script-kiddies
lo que pego abajo.
A pesar de estar lños links, es bajo vuestra
responsiblidad si los pinchais, ya que, o estais
absolutamente seguros de vuestro navegador y de la
configuracion de seguridad, o por el mero hecho de
visitarlos podeis pillar algun regalo.

Si eso está en manos de script-kiddies.. indica que
hay mas intrusiones con rootkit a medida que infecciones
con el exploit simple... y además con la experiencia
que ya sacaron estos con el Blaster


Exploit para el LSASS (MS04-011) (25-04-2004)

Se trata de un nuevo exploit para otra de las
vulnerabilidades del MS04-011, la que se referenciaba
como "LSASS Vulnerability"
Esta vulnerabilidad fue encontrada por la gente de eEye
(AD20040413C) y afecta a los Windows 2k/XP, el servicio
afectado es el LSA (Local Security Authority) Service
(LSASRV.DLL).
El exploit causa un overflow
Se ven afectados los Windows 2k/XP que no esten parcheados
con el parche del MS04-011
Exploit: ms04011lsass.c (links externo a www.k-otik.com).

DSScan: Escaner para esta vulnerabilidad publicado por
Foundstone antes de aparecer el exploit.
Descargalo aquí

Actualización 26-04-2004 :
Versión compilada: ms04011lsass
http://cyruxnet.com.ar/download/ms04011lsass.zip

Actualización 29-04-2004 :
exploit universal (2k/XP): HOD-ms04011-lsasrv-expl
http://cyruxnet.com.ar/download/HOD...v-expl.rar

Origen: www.k-otik.com

Por otra parte, la informacion del CERT (maximo organo de
seguridad mundial):

http://www.cert.org/tech_tips/win-UNIX-
system_compromise.html#E.1

Recover from the intrusion:
Install a clean version of your operating system
Keep in mind that if a machine is compromised, anything on
that system could have been modified, including the
kernel, binaries, datafiles, running processes, and
memory. In general, the only way to trust that a machine is
free from backdoors and intruder modifications is to
reinstall the operating system from the distribution media
and install all of the security patches before connecting
back to the network. Merely determining and fixing the
vulnerability that was used to initially compromise this
machine may not be enough.

Tenga presente que si se compromete una máquina, cualquier
cosa en ese sistema se habría podido modificar, incluyendo
el núcleo, los binarios, los datafiles, los procesos
abiertos y la memoria. En general, la única manera
de confiar en que una máquina está libre de backdoors
(puertas traseras) y de modificaciones del intruso es
reinstalar el sistema operativo desde distribution media e
instalar todos los parches de seguridad antes de
conectar de nuevo a la red. Simplemente determinar y
parchear la vulnerabilidad que fue utilizada para
comprometer inicialmente esta máquina pueden no ser
bastante.



Resumiendo, fijaros con que tipo de personajes hay que
lidiar: el SemiP es uno de los anonimos que ayer llenó
estos grupos de basura escribiendo desde su propio trabajo.


Vulpes vs Corvus



[Filtrado por bobo] <- KillFile para los horteras
Ille Corvus

[Filtrado por inculto] <- Troll con cero aportaciones
Maximilian Heel



Varios MVP y Vulpes estn incitando a Formatear si te has


infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS y la


utilidad de borrar al bicho es suficiente:
http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda el


tiempo y quizas dinero.

Animo a denunciarlo a Microsoft.





.





Respuesta Responder a este mensaje
#14 Anonimo
04/05/2004 - 12:44 | Informe spam
Extraído de la propuesta para mejora de la calidad en los
grupos de noticias:

"Ante la aparición de un troll comprometernos sobre la
base de nuestra responsabilidad el no responder nada a sus
mensajes. Es tarea y responsabilidad de todos; sin esta
acción el resto no valdría para nada"


asi me gusta dando "buenos consejos", que otros bichos


han entrado aparte
del sasser?
cuando te violen tu pc, a ver si sehuirás dando esos


consejos
se nota que sigues siendo un inutil

Bienvenidos al sitio de MVP de Microsoft
http://mvp.support.microsoft.com/

Recuerda: Una Consulta, Un Foro:
news:microsoft.public.es.outlookexpress
news:microsoft.public.es.windowsxp
news:microsoft.public.es.windowsxp.aplicaciones
news:microsoft.public.es.windowsxp.hardware
news:microsoft.public.es.windowsxp.instalacion
news:microsoft.public.es.windowsxp.seguridad



Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and


confers no rights.
You assume all risk for your use.


XP Pro-2600-limpia+SP1

por favor
respuestas al grupo; asi nos beneficiamos todos
no se responde personalmente

saludos

Antonio
ms mvp windowsxp shell user

"SemiP" wrote in message
news:
Varios MVP y Vulpes estn incitando a Formatear si te




has infectado por el
Sasser.

NO LES HAGAS CASO, con pasar el parche de MS y la




utilidad de borrar al
bicho es suficiente:
http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda




el tiempo y quizas
dinero.

Animo a denunciarlo a Microsoft.









.

Respuesta Responder a este mensaje
#15 Anonimo
04/05/2004 - 12:44 | Informe spam
Extraído de la propuesta para mejora de la calidad en los
grupos de noticias:

"Ante la aparición de un troll comprometernos sobre la
base de nuestra responsabilidad el no responder nada a sus
mensajes. Es tarea y responsabilidad de todos; sin esta
acción el resto no valdría para nada"


Las opiniones personales de un personajillo como tu:


AIRIS no tiene AMD y ademas es carisimo, no son
precisamente ni tecnicas, ni tienen ningun valor.

Solo denotan incultura, mala fe, desconocimiento absoluto


de cualquier tema informatico, y rencor personal.

La profesionalidad te falta: esta debe estar por encima


de tus odios personales.

Ahora bien, simplemente como Vulpes va a comer con tus


jefes esta semana por motivos laborales de su empresa, y
como resulta que lleva tambien toda la documentacion, de
un empleado, tu, que desde el trabajo está perdiendo el
tiempo en muchas ocasiones escribiendo cizaña en los
grupos, por ello, y simplemente por ello, estas rabioso y
desinformando a proposito.

Estoy de acuerdo en todo lo informado por Vulpes en su


post, ya que es un verdadero profesional de la informatica.

Intentas desinformar a proposito y esto es muy


peligroso.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and


confers no rights.
You assume all risk for your use.




"SemiP" wrote in message


news:
Varios MVP y Vulpes estn incitando a Formatear si te




has infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS y la




utilidad de borrar al bicho es suficiente:
http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda




el tiempo y quizas dinero.

Animo a denunciarlo a Microsoft.





"Antonio Amengual[MSMVP]"




escribió en el mensaje news:%
23qkpj$
asi me gusta dando "buenos consejos", que otros bichos






han entrado aparte
del sasser?
cuando te violen tu pc, a ver si sehuirás dando esos






consejos
se nota que sigues siendo un inutil

Bienvenidos al sitio de MVP de Microsoft
> http://mvp.support.microsoft.com/
>
> Recuerda: Una Consulta, Un Foro:
> news:microsoft.public.es.outlookexpress
> news:microsoft.public.es.windowsxp
> news:microsoft.public.es.windowsxp.aplicaciones
> news:microsoft.public.es.windowsxp.hardware
> news:microsoft.public.es.windowsxp.instalacion
> news:microsoft.public.es.windowsxp.seguridad

Este mensaje se proporciona "como está" sin garantías






de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties,






and confers no rights.
You assume all risk for your use.


XP Pro-2600-limpia+SP1

por favor
respuestas al grupo; asi nos beneficiamos todos
no se responde personalmente

saludos

Antonio
ms mvp windowsxp shell user

"SemiP" wrote in message
news:
> Varios MVP y Vulpes estn incitando a Formatear si te






has infectado por el
> Sasser.
>
> NO LES HAGAS CASO, con pasar el parche de MS y la






utilidad de borrar al
> bicho es suficiente:
> http://www.microsoft.com/security/i...sasser.asp
>
> Y el punto 10 es un HOAX para que el que lo lea






pierda el tiempo y quizas
> dinero.
>
> Animo a denunciarlo a Microsoft.
>
>
>
>
>








.

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida