LSASS.EXE

W32/SASSER

Si te aparece un mensaje parecido a éste...

****************************************
"Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier
cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTHORITY\SYSTEM

Tiempo restante de apagado: 00.00.XX

Mensaje: El proceso del sistema C:\WINDOWS\system32\lsass.exe terminó de forma inesperada indicando
código 0
Windows debe reiniciar ahora.

****************************************

... es que han entrado en tu equipo por una vulnerabilidad en el sistema. Esta vulnerabilidad ya
estaba corregida por Microsoft mediante una actualización crítica desde el dia 13 de Abril pasado.
Con el parche instalado o simplemente con el firewall de Windows XP activado, o cualquier otro
firewall de terceros, no deberías haber tenido problemas. Pero si no ha sido así, es decir, si no
tenías el parche aplicado y/o el firewall activado y te ha aparecido el mensaje anterior, la
SOLUCIÓN ÓPTIMA es FORMATEAR el disco duro e instalar en limpio el Sistema Operativo, para asegurar
la integridad del sistema.

Información Adicional

Microsoft Security Bulletin MS04-011 Security Update for Microsoft Windows (835732)
http://www.microsoft.com/technet/se...4-011.mspx

Actualización de seguridad para Windows NT/2000/XP/Server 2003 (KB835732)
http://www.microsoft.com/downloads/...243B6168F3

What You Should Know About the Sasser Worm and Its Variants
http://www.microsoft.com/security/i...sasser.asp

MS04-011: Sasser Internet Worm Links
http://msmvps.com/harrywaldron/posts/5752.aspx

Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm


¿Porqué si he quitado el gusano, aún me piden que debo formatear mi equipo?

Este gusano crea un shell (una consola de comandos), que puede permitir el ingreso de casi cualquier
tipo de instrucción que comprometa a nuestro sistema. También abre un servidor FTP que permite el
acceso a cualquier archivo. Y no hay nada que nos asegure que por borrar al Sasser de nuestro
sistema, nos libraremos de la posibilidad de que alguien haya dejado otro regalo en nuestra
computadora.

Por otra parte, no hay forma de saber cuántas modificaciones del exploit del que se vale el gusano
(en realidad utiliza dos), están dando vueltas por Internet, y cuantas formas maliciosas pueden
llegar a crearse a partir de los mismos.

Por ello, detectar una infección con el gusano Sasser, ameritaría no solo la limpieza del sistema
infectado, sino la completa reinstalación del mismo (y posterior actualización de los parches e
instalación o activación de un cortafuegos), como única forma de asegurarnos contra las posibles
consecuencias. La infección con el Sasser debe ser tomada como una señal de alarma. Si ocurre, hay
que seguir estos pasos:

A). Borrar el gusano como se indicó antes.

B). Respaldar la información importante (no los programas)

C). Formatear nuestros discos para asegurarnos de que el sistema está limpio realmente, y reinstalar
el sistema operativo y todos los programas.

D). MUY IMPORTANTE: instalar el parche correspondiente, y activar un cortafuegos, además de mantener
al día nuestros antivirus.

Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE


Normas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas
http://www.microsoft.com/communitie...fault.mspx

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.

"kokyjabn" escribió en el mensaje
news:2b68e01c467ab$9948f360$
Cuando me conecto a internet sale un mensaje ke me informa
ke mi maquiina será reiciada.. y no peudo aser nada...
trate de bajarme los Kbase necesarios pero no encuentro el
indicado; es dificil ubircarlo u sorbe todo ke este en
ESPAÑOL pues mi sistema operativo es WINDOWS 2000 en
Español

tienes el virus Sasser, debes ir a www.microsoft.com/spain/seguridad
aunque tapes agujeros, has sido vulnerable, han podido hacer lo que les
diese la gana aparte de dejarte regalitos
aconsejo formatear y comenzar de cero


Bienvenidos al sitio de MVP de Microsoft

http://mvp.support.microsoft.com/

Recuerda: Una Consulta, Un Foro:
news:microsoft.public.es.outlookexpress
news:microsoft.public.es.windowsxp
news:microsoft.public.es.windowsxp.aplicaciones
news:microsoft.public.es.windowsxp.hardware
news:microsoft.public.es.windowsxp.instalacion
news:microsoft.public.es.windowsxp.seguridad

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


XP Pro-2600-limpia+SP1

por favor
respuestas al grupo; asi nos beneficiamos todos
no se responde personalmente

saludos

Antonio
ms mvp windowsxp shell user

"kokyjabn" wrote in message
news:2b68e01c467ab$9948f360$
Cuando me conecto a internet sale un mensaje ke me informa
ke mi maquiina será reiciada.. y no peudo aser nada...
trate de bajarme los Kbase necesarios pero no encuentro el
indicado; es dificil ubircarlo u sorbe todo ke este en
ESPAÑOL pues mi sistema operativo es WINDOWS 2000 en
Español

A mi me pasó hace un par de dias con una pequeña red. La pc con xp se
reseteo como la tuya. Tenia todo el sistema recien instalado. Otra pc con
windows profesional 2000 y la tercera con windows server 2000. Ninguna de
las 2 ultimas accede a internet. la de xp trate de comunicarme por modem
para configurar el poco correo que se usa, pero siempre se cortaba el
enlace. Y al ratito de intentar apareció el "famoso aviso"... Resumiendo
nunca se accedió a internet. Será simplemente algo de la configuracionddel
xp que interpretó el acceso de las otras pc como un ataque? Todas las pc
tienen norton 2003 actualizado.
Gracias y saludos...Edgardo



"Enrique [MVP Windows]" escribió en el mensaje
news:

W32/SASSER

Si te aparece un mensaje parecido a éste...

****************************************
"Se está apagando el sistema. Guarde todo trabajo en curso y cierre la

sesión. Se perderá cualquier

cambio que no haya sido guardado. El apagado ha sido iniciado por NT

AUTHORITY\SYSTEM

Tiempo restante de apagado: 00.00.XX

Mensaje: El proceso del sistema C:\WINDOWS\system32\lsass.exe terminó de

forma inesperada indicando

código 0
Windows debe reiniciar ahora.

****************************************

... es que han entrado en tu equipo por una vulnerabilidad en el sistema.

Esta vulnerabilidad ya

estaba corregida por Microsoft mediante una actualización crítica desde el

dia 13 de Abril pasado.

Con el parche instalado o simplemente con el firewall de Windows XP

activado, o cualquier otro

firewall de terceros, no deberías haber tenido problemas. Pero si no ha

sido así, es decir, si no

tenías el parche aplicado y/o el firewall activado y te ha aparecido el

mensaje anterior, la

SOLUCIÓN ÓPTIMA es FORMATEAR el disco duro e instalar en limpio el Sistema

Operativo, para asegurar

la integridad del sistema.

Información Adicional

Microsoft Security Bulletin MS04-011 Security Update for Microsoft Windows

(835732)

http://www.microsoft.com/technet/se...4-011.mspx

Actualización de seguridad para Windows NT/2000/XP/Server 2003 (KB835732)

http://www.microsoft.com/downloads/...amilyID549
EA9E-DA3F-43B9-A4F1-AF243B6168F3

What You Should Know About the Sasser Worm and Its Variants
http://www.microsoft.com/security/i...sasser.asp

MS04-011: Sasser Internet Worm Links
http://msmvps.com/harrywaldron/posts/5752.aspx

Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm


¿Porqué si he quitado el gusano, aún me piden que debo formatear mi

equipo?

Este gusano crea un shell (una consola de comandos), que puede permitir el

ingreso de casi cualquier

tipo de instrucción que comprometa a nuestro sistema. También abre un

servidor FTP que permite el

acceso a cualquier archivo. Y no hay nada que nos asegure que por borrar

al Sasser de nuestro

sistema, nos libraremos de la posibilidad de que alguien haya dejado otro

regalo en nuestra

computadora.

Por otra parte, no hay forma de saber cuántas modificaciones del exploit

del que se vale el gusano

(en realidad utiliza dos), están dando vueltas por Internet, y cuantas

formas maliciosas pueden

llegar a crearse a partir de los mismos.

Por ello, detectar una infección con el gusano Sasser, ameritaría no solo

la limpieza del sistema

infectado, sino la completa reinstalación del mismo (y posterior

actualización de los parches e

instalación o activación de un cortafuegos), como única forma de

asegurarnos contra las posibles

consecuencias. La infección con el Sasser debe ser tomada como una señal

de alarma. Si ocurre, hay

que seguir estos pasos:

A). Borrar el gusano como se indicó antes.

B). Respaldar la información importante (no los programas)

C). Formatear nuestros discos para asegurarnos de que el sistema está

limpio realmente, y reinstalar

el sistema operativo y todos los programas.

D). MUY IMPORTANTE: instalar el parche correspondiente, y activar un

cortafuegos, además de mantener

al día nuestros antivirus.

Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE


Normas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas
http://www.microsoft.com/communitie...fault.mspx

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no

rights.

"kokyjabn" escribió en el mensaje
news:2b68e01c467ab$9948f360$
Cuando me conecto a internet sale un mensaje ke me informa
ke mi maquiina será reiciada.. y no peudo aser nada...
trate de bajarme los Kbase necesarios pero no encuentro el
indicado; es dificil ubircarlo u sorbe todo ke este en
ESPAÑOL pues mi sistema operativo es WINDOWS 2000 en
Español