MICRO FAQ: QUITAR GUSANO SASSER

ESTO ES DESINFORMACION



brought next idea :

[Cppy&Paste desde es.comp.hackers]Post de Lokutus(sorry
Lokutus):-)

Ante todo, si teneis XP y os han
aconsejado "Formatear", no lo hagais.

Observen, que el Windows XP para que funcione, es
necesario activarlo en
la web de Microsoft, y si activais la copia de Windows
XP más de X veces,
(creo que es tres), ya no podreis activarlo más veces.

Cuando hayais agotado todas las activaciones posibles,
os quedareis sin
sistema operativo, ¿y entonces que?, ¿comprarlo de
nuevo?.

No sólo eso, si no que como no se trata de una
actualización, ni un
equipo nuevo, pueden caeros unos 300 Euros más o menos,
que es lo que
vale aproximadamente un XP de caja.

Por lo tanto, mejor ni se les ocurra formatear el
disco duro.

Hasta que Microsoft NO resuelva de una forma fácil el
tema del número
de activaciones, o no resuelva de una forma fácil el
poder formatear sin
perder la activación actual, NO hagan caso a todo eso
que dicen de
formatear el disco duro.

Para eliminar el sasser:

1 .- Desconecta el PC de Internet.

2 .- Desde otro PC, de algún amigo o vecino, acude a la
web de Panda.

http://www.pandasoftware.es

Bajate el fichero para desinfectar el sasser y
copiatelo a un
disquette. Se trata de un fichero
llamado "pqremove.exe".

3 .- Copiatelo al escritorio de tu PC, y ejecutalo,
dile a todo que "SI"
o "OK".

4 .- Te dirá que tienes que reiniciar, quita el
disquette de la unidad,
y cuando hayas reiniciado, ejecuta otra vez el
programa pqremove
para asegurarse de que no tienes el sasser.

5 .- Una vez que te hayas librado del sasser, activa el
cortafuegos.
Si tienes Windows 2000, instalate algún
cortafuegos gratuito de los
que se pueden encontrar en CDs de revistas.

O si no, dile a tu "amigo", "conocido", "vecino"
que te lo grabe
en un CD.

6 .- Una vez con el cortafuegos activado y funcionando,
vuelve a conectarte
a Internet.

7 .- En el menú "Inicio", si lo despliegas, observaras
que hay una opción
para ir a la web de Microsoft y actualizarte.
Instala todas las
actualizaciones que existan.

Tendras que repetir el paso siete varias veces,
pues algunas
actualizaciones, requieren reinicio.

8 .- Dirigete nuevamente a la web de Panda, y hazte el
escaneo en linea,
de esta forma, se detectará cualquier posible
troyano.


NOTA:

El motivo por el que algunos aconsejan formatear el
disco duro, es por la
posibilidad de que alguien, haya instalado un rootkit en
tu máquina.

Pero, ¿que es un RootKit?, os preguntareis alguno.

Un rootkit, es un software que se encarga de que
ciertos directorios, sean
totalmente invisibles, y no se puedan ver ni con el
explorador de Windows,
ni desde la consola.

También se encarga, de ocultar ciertos procesos, que
se hayan ejecutado
desde esas carpetas invisibles, de tal forma que no se
vean de ninguna forma.

Y por supuesto, también se encarga de que no se vean
los puertos abiertos
ni las conexiones que se hagan.

Es decir, que con un rootkit instalado, podríamos
instalar un troyano
BackOrifice, por ejemplo, y no sería detectado por
ningún antivirus, por
que los antivirus, no encontrarían la carpeta donde está
el troyano.

Presumiblemente, los cortafuegos, tampoco detectarían
la apertura de
puertos y/o conexiones al triyano, (ahi tengo mis dudas).

Por lo tanto, un rootkit, es algo así como un paso
superior, un avance,
al mundo de los troyanos.

El tema está, en que a diferencia de los troyanos, que
pueden ser
programados por cualquiera, un rootkit no es tan fácil
de programar.

Un rootkit, tiene que valerse de alguna vulnerabilidad
del sistema
operativo, para hacerse "Ring 0", (que puede hacer todo
lo que le de la
gana), y eso NO es tan fácil.

El único rootkit para Windows conocido, que yo sepa,
es el NTRootkit,
y sólo funciona en Windows NT 4.

Los rootkits, por su naturaleza, son muy dependientes
de la versión
del sistema operativo, y si un rootkit está escrito para
una versión de
Windows, no vale para otra versión.

En mi opinión, es realmente difícil, casi imposible que
alguien os haya
colocado un rootkit. Como mucho, os pueden haber
colocado un troyano, o
algún KeyLogger.

Para eliminar guarrerías diversas, podeis bajaros
alguno de estos
programas, (o todos si quereis), y comprobar si teneis
malware en
vuestra máquina.

EarthLink Spy Audit http://www.earthlink.net/spyaudit/

Ad-Aware http://www.lavasoft.de

http://lavasoft.element5.com/default.shtml.es

SpyBot http://www.safer-
networking.org/index.php?lang=es
http://beam.to/spybotsd

CWS Shreader
http://www.majorgeeks.com/download4086.html

Hijack This
http://www.majorgeeks.com/download3155.html

PestPatrol
http://www.pestpatrol.com/PestPatrolHE/

Por último, en la web de HackIndex, (www.hackindex.org
o www.hackindex.com)
teneis disponible una aplicación para detectar
keyloggers genéricos).

Se trata del AHE Spy Monitor.

Saludos,

Juan

Esta ha sido mi respuesta completa al post de Lokutus:

si activais la copia de Windows XP más de X veces,
(creo que es tres), ya no podreis activarlo más veces.

No es cierto. Es un bulo mas de los que corren por internet. Se puede activar infinitas en la misma maquina. Unicamente si hay mas de 3 cambios "significativos" de hardware en un periodo inferior a 4 meses desde la ultima activacion es cuando obliga a activar telefonicamente. Nunca a pagar mas, ya que los de Activacion Telefonica no ponen en absoluto ninguna pega. es mas, ni te escuchan y te dan directamente la clave (por desgracia).

Tienes informacion sobre ello en una traduccion mia del documento oficial de Microsoft:
http://www.multingles.net/docs/activaci.htm


Con respecto al sasser, o el blasterm hay que distinguir dos cosas: si es solamente la entrada del virus no pasa nada: lo quita un niño. Casi ni hacen falta herramientas.

Ahora bien, si te ha entrado el virus, quiere decir que has sido vulnerable. Por tanto, los sintomas, pueden ser del virus, o bien de una INTRUSION. Hay mucha gente interesada en articulos como el tuyo en NO resaltar esto ultimo, y si pienso mal, puede ser que sean comentarios interesados para poder seguir teniendo control de una serie de maquinas de la red.

El riesgo de una intrusion es altisimo debido a que la mitad de los script-kiddies de la red, tienes herramientas para ellos desde 24 horas despues de que MS sacase el parche. Se puede ver en:

http://www.k-otik.com/exploits/

Para quien quiera saber mas sobre las posibilidades de estas INTRUSIONES, puede leerse un articulo mio:

http://www.multingles.net/docs/sasser.htm

Y ahora, con toda la informacion, tanto la tuya como la mia, que cada uno decida que es lo que realmente le interesa. Pero que se lea despacio y se medite.

Igualmente hay opiniones de casas de antivirus como el propio VsAntivirus con ideas similares:

10. ¿Porqué si he quitado el gusano, aún me piden que debo formatear mi equipo?
http://www.vsantivirus.com/faq-sasser.htm#10

Un saludo,




Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




wrote in message news:a7a601c435e9$1f1b9550$
[Cppy&Paste desde es.comp.hackers]Post de Lokutus(sorry
Lokutus):-)

Ante todo, si teneis XP y os han
aconsejado "Formatear", no lo hagais.

Observen, que el Windows XP para que funcione, es
necesario activarlo en
la web de Microsoft, y si activais la copia de Windows
XP más de X veces,
(creo que es tres), ya no podreis activarlo más veces.

Cuando hayais agotado todas las activaciones posibles,
os quedareis sin
sistema operativo, ¿y entonces que?, ¿comprarlo de
nuevo?.

No sólo eso, si no que como no se trata de una
actualización, ni un
equipo nuevo, pueden caeros unos 300 Euros más o menos,
que es lo que
vale aproximadamente un XP de caja.

Por lo tanto, mejor ni se les ocurra formatear el
disco duro.

Hasta que Microsoft NO resuelva de una forma fácil el
tema del número
de activaciones, o no resuelva de una forma fácil el
poder formatear sin
perder la activación actual, NO hagan caso a todo eso
que dicen de
formatear el disco duro.

Para eliminar el sasser:

1 .- Desconecta el PC de Internet.

2 .- Desde otro PC, de algún amigo o vecino, acude a la
web de Panda.

http://www.pandasoftware.es

Bajate el fichero para desinfectar el sasser y
copiatelo a un
disquette. Se trata de un fichero
llamado "pqremove.exe".

3 .- Copiatelo al escritorio de tu PC, y ejecutalo,
dile a todo que "SI"
o "OK".

4 .- Te dirá que tienes que reiniciar, quita el
disquette de la unidad,
y cuando hayas reiniciado, ejecuta otra vez el
programa pqremove
para asegurarse de que no tienes el sasser.

5 .- Una vez que te hayas librado del sasser, activa el
cortafuegos.
Si tienes Windows 2000, instalate algún
cortafuegos gratuito de los
que se pueden encontrar en CDs de revistas.

O si no, dile a tu "amigo", "conocido", "vecino"
que te lo grabe
en un CD.

6 .- Una vez con el cortafuegos activado y funcionando,
vuelve a conectarte
a Internet.

7 .- En el menú "Inicio", si lo despliegas, observaras
que hay una opción
para ir a la web de Microsoft y actualizarte.
Instala todas las
actualizaciones que existan.

Tendras que repetir el paso siete varias veces,
pues algunas
actualizaciones, requieren reinicio.

8 .- Dirigete nuevamente a la web de Panda, y hazte el
escaneo en linea,
de esta forma, se detectará cualquier posible
troyano.


NOTA:

El motivo por el que algunos aconsejan formatear el
disco duro, es por la
posibilidad de que alguien, haya instalado un rootkit en
tu máquina.

Pero, ¿que es un RootKit?, os preguntareis alguno.

Un rootkit, es un software que se encarga de que
ciertos directorios, sean
totalmente invisibles, y no se puedan ver ni con el
explorador de Windows,
ni desde la consola.

También se encarga, de ocultar ciertos procesos, que
se hayan ejecutado
desde esas carpetas invisibles, de tal forma que no se
vean de ninguna forma.

Y por supuesto, también se encarga de que no se vean
los puertos abiertos
ni las conexiones que se hagan.

Es decir, que con un rootkit instalado, podríamos
instalar un troyano
BackOrifice, por ejemplo, y no sería detectado por
ningún antivirus, por
que los antivirus, no encontrarían la carpeta donde está
el troyano.

Presumiblemente, los cortafuegos, tampoco detectarían
la apertura de
puertos y/o conexiones al triyano, (ahi tengo mis dudas).

Por lo tanto, un rootkit, es algo así como un paso
superior, un avance,
al mundo de los troyanos.

El tema está, en que a diferencia de los troyanos, que
pueden ser
programados por cualquiera, un rootkit no es tan fácil
de programar.

Un rootkit, tiene que valerse de alguna vulnerabilidad
del sistema
operativo, para hacerse "Ring 0", (que puede hacer todo
lo que le de la
gana), y eso NO es tan fácil.

El único rootkit para Windows conocido, que yo sepa,
es el NTRootkit,
y sólo funciona en Windows NT 4.

Los rootkits, por su naturaleza, son muy dependientes
de la versión
del sistema operativo, y si un rootkit está escrito para
una versión de
Windows, no vale para otra versión.

En mi opinión, es realmente difícil, casi imposible que
alguien os haya
colocado un rootkit. Como mucho, os pueden haber
colocado un troyano, o
algún KeyLogger.

Para eliminar guarrerías diversas, podeis bajaros
alguno de estos
programas, (o todos si quereis), y comprobar si teneis
malware en
vuestra máquina.

EarthLink Spy Audit http://www.earthlink.net/spyaudit/

Ad-Aware http://www.lavasoft.de

http://lavasoft.element5.com/default.shtml.es

SpyBot http://www.safer-
networking.org/index.php?lang=es
http://beam.to/spybotsd

CWS Shreader
http://www.majorgeeks.com/download4086.html

Hijack This
http://www.majorgeeks.com/download3155.html

PestPatrol
http://www.pestpatrol.com/PestPatrolHE/

Por último, en la web de HackIndex, (www.hackindex.org
o www.hackindex.com)
teneis disponible una aplicación para detectar
keyloggers genéricos).

Se trata del AHE Spy Monitor.



Lokutus, asimilando la red.

Hash: SHA1

Fue el Domingo, 9 de Mayo de 2004 19:14 cuando
escribio:

El único rootkit para Windows conocido, que yo sepa,
es el NTRootkit,
y sólo funciona en Windows NT 4.

Creo que de esto ya se ha hablado lo suficiente, es cierto, que la infección
del sasser no tiene porque llevar aparejada la instalación de un rootkit,
no obstante, sólo quiero desmentir este punto, ya que la instalación de un
rootkit es posible en cualquier sistema operativo, incluido XP, y para
muestra un botón, el raleka.B, tiene un rookit que infecta a S.O. tipo XP.
Habitualmente, ante la aparición de este virus/troyano he recomendado el
formateo.

http://www.vsantivirus.com/raleka-b.htm

El virus, por cierto, se aprovecha de la vulnerabilidad RPC/DCOM, y es de
origen español, es uno de los peores que he visto. Su autor fue ya fue
detenido.


Saludos

fermu

Hash: SHA1

Fue el Domingo, 9 de Mayo de 2004 19:14 cuando
escribio:

El único rootkit para Windows conocido, que yo sepa,
es el NTRootkit,
y sólo funciona en Windows NT 4.

Creo que de esto ya se ha hablado lo suficiente, es cierto, que la infección
del sasser no tiene porque llevar aparejada la instalación de un rootkit,
no obstante, sólo quiero desmentir este punto, ya que la instalación de un
rootkit es posible en cualquier sistema operativo, incluido XP, y para
muestra un botón, el raleka.B, tiene un rookit que infecta a S.O. tipo XP.
Habitualmente, ante la aparición de este virus/troyano he recomendado el
formateo.

http://www.vsantivirus.com/raleka-b.htm

El virus, por cierto, se aprovecha de la vulnerabilidad RPC/DCOM, y es de
origen español, es uno de los peores que he visto. Su autor fue ya fue
detenido.


Saludos

fermu

Hash: SHA1

Fue el Domingo, 9 de Mayo de 2004 19:14 cuando
escribio:

El único rootkit para Windows conocido, que yo sepa,
es el NTRootkit,
y sólo funciona en Windows NT 4.

Creo que de esto ya se ha hablado lo suficiente, es cierto, que la infección
del sasser no tiene porque llevar aparejada la instalación de un rootkit,
no obstante, sólo quiero desmentir este punto, ya que la instalación de un
rootkit es posible en cualquier sistema operativo, incluido XP, y para
muestra un botón, el raleka.B, tiene un rookit que infecta a S.O. tipo XP.
Habitualmente, ante la aparición de este virus/troyano he recomendado el
formateo.

http://www.vsantivirus.com/raleka-b.htm

El virus, por cierto, se aprovecha de la vulnerabilidad RPC/DCOM, y es de
origen español, es uno de los peores que he visto. Su autor fue ya fue
detenido.


Saludos

fermu