[HOAX] Formatear despues de cojer el Sasser

Extraído de la propuesta para mejora de la calidad en los
grupos de noticias:

"Ante la aparición de un troll comprometernos sobre la
base de nuestra responsabilidad el no responder nada a sus
mensajes. Es tarea y responsabilidad de todos; sin esta
acción el resto no valdría para nada"

Solo espero que su jefe tenga un mínimo de conocimientos

informáticos para

que sepa evaluar en su justa medida mensajes como el que

acaba de poner en

horario laboral.
Si fuera en mi empresa ya estaba en la calle.



_





"JM Tella Llop [MVP Windows]" escribió

en el mensaje

news:
Las opiniones personales de un personajillo como tu:

AIRIS no tiene AMD y

ademas es carisimo, no son precisamente ni tecnicas, ni

tienen ningun valor.

Solo denotan incultura, mala fe, desconocimiento absoluto

de cualquier tema

informatico, y rencor personal.

La profesionalidad te falta: esta debe estar por encima

de tus odios

personales.

Ahora bien, simplemente como Vulpes va a comer con tus

jefes esta semana por

motivos laborales de su empresa, y como resulta que lleva

tambien toda la

documentacion, de un empleado, tu, que desde el trabajo

está perdiendo el

tiempo en muchas ocasiones escribiendo cizaña en los

grupos, por ello, y

simplemente por ello, estas rabioso y desinformando a

proposito.

Estoy de acuerdo en todo lo informado por Vulpes en su

post, ya que es un

verdadero profesional de la informatica.

Intentas desinformar a proposito y esto es muy

peligroso.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no

otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




"SemiP" wrote in message
news:

Varios MVP y Vulpes estn incitando a Formatear si te

has infectado por el

Sasser.

NO LES HAGAS CASO, con pasar el parche de MS y la

utilidad de borrar al

bicho es suficiente:

http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda

el tiempo y quizas

dinero.

Animo a denunciarlo a Microsoft.





"Antonio Amengual[MSMVP]"

escribió en el

mensaje news:%23qkpj$

asi me gusta dando "buenos consejos", que otros bichos

han entrado aparte

del sasser?
cuando te violen tu pc, a ver si sehuirás dando esos

consejos

se nota que sigues siendo un inutil

Bienvenidos al sitio de MVP de Microsoft
> http://mvp.support.microsoft.com/
>
> Recuerda: Una Consulta, Un Foro:
> news:microsoft.public.es.outlookexpress
> news:microsoft.public.es.windowsxp
> news:microsoft.public.es.windowsxp.aplicaciones
> news:microsoft.public.es.windowsxp.hardware
> news:microsoft.public.es.windowsxp.instalacion
> news:microsoft.public.es.windowsxp.seguridad

Este mensaje se proporciona "como está" sin garantías

de ninguna clase, y

no

otorga ningún derecho.

This posting is provided "AS IS" with no warranties,

and confers no

rights.

You assume all risk for your use.


XP Pro-2600-limpia+SP1

por favor
respuestas al grupo; asi nos beneficiamos todos
no se responde personalmente

saludos

Antonio
ms mvp windowsxp shell user

"SemiP" wrote in message
news:
> Varios MVP y Vulpes estn incitando a Formatear si te

has infectado por

el

> Sasser.
>
> NO LES HAGAS CASO, con pasar el parche de MS y la

utilidad de borrar al

> bicho es suficiente:
> http://www.microsoft.com/security/i...sasser.asp
>
> Y el punto 10 es un HOAX para que el que lo lea

pierda el tiempo y

quizas

> dinero.
>
> Animo a denunciarlo a Microsoft.
>
>
>
>
>

.

Extraído de la propuesta para mejora de la calidad en los
grupos de noticias:

"Ante la aparición de un troll comprometernos sobre la
base de nuestra responsabilidad el no responder nada a sus
mensajes. Es tarea y responsabilidad de todos; sin esta
acción el resto no valdría para nada"

Explica entonces los scripts y su funcionamiento. No el

virus en si, que como te han comentado lo quita un niño:

¿no es peligroso que?

* Todas las password de nuestra maquina hayan sido

capturadas.

* Informacion tecleadas en paginas que necesitan maxima

seguridad como:

*Informacion y transacciones bancarias.
*Comparas por internet, tarjetas de credito
*Certificados digitales, de haciend, etc.
*Resto de informacion confidencial.

Es capturado por lo "regalitos". y enviada la

informacion a la red.

*Colocar Zombies en la maquina preaprados para despertar

ante solicitus del que los ha metido.

En base a eso, ¿te atreves todavia a informar y

CERTIFICAR que *NO* es necesario formateo?. Haz esta
CERTIFICACION con tu nombre y apellidos: Pablo Lleo Garcia.

No se si es desinformacion por tu parte, odio acerrimo a

Vulpes porque te va a formar un expediente laboral, odio
hacia mi porque en diversas ocasiones he demostrado tu
desconocimientos de los temas y los interese personales
que tienes con AMD falsenado informacion a proposito, o
bien si lo que pasa es que eres uno de esos interesados en
poseer informacion reservada de otros PC's pero en
cualquier caso, indica bajeza moral, y una catadura digna
de un delincuente lo que quieres hacer.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




"SemiP" wrote in message news:u%

Varios MVP y Vulpes estn incitando a Formatear si te

has infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS(TAPA EL

AGUJERO) y la utilidad de borrar al bicho es suficiente:

http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda

el tiempo y quizas dinero. Una vez metido el parche ya sera

imposible el exploit

Animo a denunciarlo a Microsoft.






"ABC" escribió en el

mensaje news:

Solo espero que su jefe tenga un mínimo de

conocimientos informáticos para

que sepa evaluar en su justa medida mensajes como el

que acaba de poner en

horario laboral.
Si fuera en mi empresa ya estaba en la calle.



_





"JM Tella Llop [MVP Windows]"

escribió en el mensaje

news:
Las opiniones personales de un personajillo como tu:

AIRIS no tiene AMD y

ademas es carisimo, no son precisamente ni tecnicas,

ni tienen ningun valor.

Solo denotan incultura, mala fe, desconocimiento

absoluto de cualquier tema

informatico, y rencor personal.

La profesionalidad te falta: esta debe estar por

encima de tus odios

personales.

Ahora bien, simplemente como Vulpes va a comer con tus

jefes esta semana por

motivos laborales de su empresa, y como resulta que

lleva tambien toda la

documentacion, de un empleado, tu, que desde el

trabajo está perdiendo el

tiempo en muchas ocasiones escribiendo cizaña en los

grupos, por ello, y

simplemente por ello, estas rabioso y desinformando a

proposito.

Estoy de acuerdo en todo lo informado por Vulpes en su

post, ya que es un

verdadero profesional de la informatica.

Intentas desinformar a proposito y esto es muy

peligroso.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías

de ninguna clase, y no

otorga ningún derecho.

This posting is provided "AS IS" with no warranties,

and confers no rights.

You assume all risk for your use.




"SemiP" wrote in message
news:
> Varios MVP y Vulpes estn incitando a Formatear si te

has infectado por el

Sasser.
>
> NO LES HAGAS CASO, con pasar el parche de MS y la

utilidad de borrar al

bicho es suficiente:
> http://www.microsoft.com/security/i...sasser.asp
>
> Y el punto 10 es un HOAX para que el que lo lea

pierda el tiempo y quizas

dinero.
>
> Animo a denunciarlo a Microsoft.
>
>
>
>
>
> "Antonio Amengual[MSMVP]"

escribió en el

mensaje news:%23qkpj$
>> asi me gusta dando "buenos consejos", que otros

bichos han entrado aparte

>> del sasser?
>> cuando te violen tu pc, a ver si sehuirás dando

esos consejos

>> se nota que sigues siendo un inutil
>>
>> Bienvenidos al sitio de MVP de Microsoft
>> > http://mvp.support.microsoft.com/
>> >
>> > Recuerda: Una Consulta, Un Foro:
>> > news:microsoft.public.es.outlookexpress
>> > news:microsoft.public.es.windowsxp
>> > news:microsoft.public.es.windowsxp.aplicaciones
>> > news:microsoft.public.es.windowsxp.hardware
>> > news:microsoft.public.es.windowsxp.instalacion
>> > news:microsoft.public.es.windowsxp.seguridad
>>
>> Este mensaje se proporciona "como está" sin

garantías de ninguna clase, y

no
>> otorga ningún derecho.
>>
>> This posting is provided "AS IS" with no

warranties, and confers no

rights.
>> You assume all risk for your use.
>>
>>
>> XP Pro-2600-limpia+SP1
>>
>> por favor
>> respuestas al grupo; asi nos beneficiamos todos
>> no se responde personalmente
>>
>> saludos
>>
>> Antonio
>> ms mvp windowsxp shell user
>>
>> "SemiP" wrote in message
>> news:
>> > Varios MVP y Vulpes estn incitando a Formatear si

te has infectado por

el
>> > Sasser.
>> >
>> > NO LES HAGAS CASO, con pasar el parche de MS y la

utilidad de borrar al

>> > bicho es suficiente:
>> >

http://www.microsoft.com/security/i...sasser.asp

>> >
>> > Y el punto 10 es un HOAX para que el que lo lea

pierda el tiempo y

quizas
>> > dinero.
>> >
>> > Animo a denunciarlo a Microsoft.
>> >
>> >
>> >
>> >
>> >
>>
>>
>
>

.

Extraído de la propuesta para mejora de la calidad en los
grupos de noticias:

"Ante la aparición de un troll comprometernos sobre la
base de nuestra responsabilidad el no responder nada a sus
mensajes. Es tarea y responsabilidad de todos; sin esta
acción el resto no valdría para nada"

Aà±ade a Ille Corvus entre los que aconsejan formatear...

(busca un hilo suyo de ayer donde pone un link a una web
*no* MS donde también aconsejan el formateo...)

Atentamente,

"SemiP" wrote:

Varios MVP y Vulpes estn incitando a Formatear si te

has infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS y la

utilidad de borrar al bicho es suficiente:

http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda

el tiempo y quizas dinero.

Animo a denunciarlo a Microsoft.

.

Extraído de la propuesta para mejora de la calidad en los
grupos de noticias:

"Ante la aparición de un troll comprometernos sobre la
base de nuestra responsabilidad el no responder nada a sus
mensajes. Es tarea y responsabilidad de todos; sin esta
acción el resto no valdría para nada"

El Tue, 4 May 2004 11:59:58 +0200 "SemiP"

escribió:

Varios MVP y Vulpes estn incitando a Formatear si te

has infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS y la

utilidad de borrar al bicho es suficiente:

http://www.microsoft.com/security/i...sasser.asp

Señor Don Pablo, LE RUEGO que no confunda a los usuarios.


1) Tal y como ha posteado Vulpes, si salta la cuenta

atras de lsass.exe,

NO TIENE PORQUE SER UN VIRUS, puede ser perfectamente

un script-kiddie

rastreando IPs vulnerables (por ejemplo, con la

herramienta que puso

Vulpes de ejemplo


2) El Virus Sassare crea una SHELL REMOTA en el puerto

9996, es decir, una

puerta trasera que permite enviar comandos. CUALQUIER

comando. Esto implica

que un script kiddie puede (y de hecho, estan

haciendolo) rastrear IPs no

en busqueda de ordenadores a los que atacar, sino a

ordenadores _atacados_

con esa shell remota. El "servidor FTP" que usted

mencionó previamente se

activa _a traves_ de esa shell remota. Es decir, es

IMPOSIBLE IMPOSIBLE

IMPOSIBLE saber si alguien ha metido algo mas en el

sistema limpio despues

de haber sido infectado. Por lo tanto, la UNICA

solución es formatear.

Para mas referencias, extractos de las páginas de marcas

antivirus que la

propia microsoft referencia desde el enlace que ha puesot

(y que obviamente

usted y otros no han leido):

o McAffe (http://vil.nai.com/vil/content/v_125007.htm)
"This worm scans random IP addresses for exploitable

systems. When one is found, the worm exploits the
vulnerable system, by overflowing a buffer in LSASS.EXE.
It creates a remote shell on TCP port 9996. (REMOTE SHELL,
¿lo ve bien Don Pablo?)

Next it creates an FTP script named cmd.ftp on the remote

host and executes it. "

o Norman antivirus

(http://www.norman.com/Virus/Virus_d.../14919/en-
us?show=destructivity)

"As part of the infection process, the worm sets up

backdoors on infected computers.

- a remote shell on port 9996/tcp
- a FTP server on port 5554/tcp"

o Panda Software(

http://www.pandasoftware.com/virus_...dia/overvi
ew.aspx?lst=det&idvirusF865)

"If so, Sasser.A opens a shell in the TCP port 9996, with

which it sends several commands through the TCP port 5554.
Sasser.A downloads itself through the TCP port 5554 to the
vulnerable computer via FTP."

o Symantec

(http://securityresponse.symantec.co...nc/data/w3
2.sasser.worm.html)

"If a connection is made to a computer, the worm will

send shellcode to that computer, which may cause it to run
a remote shell on TCP port 9996."

o TrendMicro

(http://www.trendmicro.com/vinfo/vir...ault5.asp?
VName=WORM_SASSER.A&VSect=T)

"The resulting overflow allows the malware to listen to

TCP port 9996, which instructs it to spawn a command
shell. The malware then creates the script file CMD.FTP
that contains instructions for the vulnerable system to
download and execute a copy of this malware via FTP.

The infected host then opens TCP port 5554 to accept any

FTP requests from infected remote systems."

o http://www3.ca.com/threatinfo/virus...irus.aspx?

id9012

"The worm uses this to open a remote shell, listening on

port 9996. It connects to this port and uses the shell to
create an ftp script called "cmd.ftp" on the remote
machine"

Esto va por usted y por todos los ignorantes anónimos que

hablan sin saber

Diego Calleja
.

Extraído de la propuesta para mejora de la calidad en los
grupos de noticias:

"Ante la aparición de un troll comprometernos sobre la
base de nuestra responsabilidad el no responder nada a sus
mensajes. Es tarea y responsabilidad de todos; sin esta
acción el resto no valdría para nada"

Desinformacion dada a proposito. Parcial e incompleta.

Primero, la propia informacion de Microsoft ante Blaster
y "similares":
http://support.microsoft.com/?kbid‚6955

<abofeteo>
Recovery
Best practices for security suggest that you perform a
complete "clean" installation on a previously compromised
computer to remove any undiscovered exploits that can

lead

to a future compromise.
</abofeteo>

Este personaje llamado SemiP, parece que es uno de los

mas

interesados, en desvirtuar la informacion. Bine por
cuestiones personales -que indican bajeza moral, pero ya
le conoceis todos- o bien porque está metido, o quiere
meterse en el submundo del hacking. Todos teneis frescas
sus informaciones paranoicas sobre AIRIS y AMD. (buscar
los hilos), por lo que en vez de informar hay un
resentimiendo y odio contra la informacion veraz.

Pasemos a ver el porqué es peligrosa esta situacion, y no
por el virus en si, que es realmente un virus de risa en
el sentido que cualquiera puede quitarlo de la maquina

sin

necesitad de herramientas. Solo con un poco conocimento
que no va mas allá del que tiene cualquier usuario
avanzado.

Los script-kiddies (mierdacrios en castellano) son los

mas

interesados en distribuir este tipo de informacion,

porque

se les termina el chollo de entrar en otras maquinas y de
tener miles de maquinas zombies a su disposicion.


Mi opinion es la misma que la VsAntivirus:
http://www.vsantivirus.com/faq-sasser.htm#10

Dejo esta informacion debajo, para que juzgueis lo que
esos energumenos pueden hacer con nuestras maquinas:


Desde el 25 de Abril, anda en manos de los script-kiddies
lo que pego abajo.
A pesar de estar lños links, es bajo vuestra
responsiblidad si los pinchais, ya que, o estais
absolutamente seguros de vuestro navegador y de la
configuracion de seguridad, o por el mero hecho de
visitarlos podeis pillar algun regalo.

Si eso está en manos de script-kiddies.. indica que
hay mas intrusiones con rootkit a medida que infecciones
con el exploit simple... y además con la experiencia
que ya sacaron estos con el Blaster


-

-

Exploit para el LSASS (MS04-011) (25-04-2004)

Se trata de un nuevo exploit para otra de las
vulnerabilidades del MS04-011, la que se referenciaba
como "LSASS Vulnerability"
Esta vulnerabilidad fue encontrada por la gente de eEye
(AD20040413C) y afecta a los Windows 2k/XP, el servicio
afectado es el LSA (Local Security Authority) Service
(LSASRV.DLL).
El exploit causa un overflow
Se ven afectados los Windows 2k/XP que no esten

parcheados

con el parche del MS04-011
Exploit: ms04011lsass.c (links externo a www.k-otik.com).

DSScan: Escaner para esta vulnerabilidad publicado por
Foundstone antes de aparecer el exploit.
Descargalo aquí

Actualización 26-04-2004 :
Versión compilada: ms04011lsass
http://cyruxnet.com.ar/download/ms04011lsass.zip

Actualización 29-04-2004 :
exploit universal (2k/XP): HOD-ms04011-lsasrv-expl
http://cyruxnet.com.ar/download/HOD...11-lsasrv-

expl.rar

Origen: www.k-otik.com

Por otra parte, la informacion del CERT (maximo organo de
seguridad mundial):

http://www.cert.org/tech_tips/win-UNIX-
system_compromise.html#E.1

Recover from the intrusion:
Install a clean version of your operating system
Keep in mind that if a machine is compromised, anything

on

that system could have been modified, including the
kernel, binaries, datafiles, running processes, and
memory. In general, the only way to trust that a machine

is

free from backdoors and intruder modifications is to
reinstall the operating system from the distribution

media

and install all of the security patches before connecting
back to the network. Merely determining and fixing the
vulnerability that was used to initially compromise this
machine may not be enough.

Tenga presente que si se compromete una máquina,

cualquier

cosa en ese sistema se habría podido modificar,

incluyendo

el núcleo, los binarios, los datafiles, los procesos
abiertos y la memoria. En general, la única manera
de confiar en que una máquina está libre de backdoors
(puertas traseras) y de modificaciones del intruso es
reinstalar el sistema operativo desde distribution media

e

instalar todos los parches de seguridad antes de
conectar de nuevo a la red. Simplemente determinar y
parchear la vulnerabilidad que fue utilizada para
comprometer inicialmente esta máquina pueden no ser
bastante.



Resumiendo, fijaros con que tipo de personajes hay que
lidiar: el SemiP es uno de los anonimos que ayer llenó
estos grupos de basura escribiendo desde su propio

trabajo.

Vulpes vs Corvus



[Filtrado por bobo] <- KillFile para los horteras
Ille Corvus

[Filtrado por inculto] <- Troll con cero aportaciones
Maximilian Heel

Varios MVP y Vulpes estn incitando a Formatear si te has

infectado por el Sasser.

NO LES HAGAS CASO, con pasar el parche de MS y la

utilidad de borrar al bicho es suficiente:

http://www.microsoft.com/security/i...sasser.asp

Y el punto 10 es un HOAX para que el que lo lea pierda

el

tiempo y quizas dinero.

Animo a denunciarlo a Microsoft.





.

.