[Seguridad] Experiencias de una infeccion con sasster

¿has entendido entonces lo que te ha comentado dicho participante?. jeje.

Y mucho te preocupas tu por el libro. ¿la vas a comprar?..

Hay un capitulo entero dedicado a AMD.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




wrote in message news:947401c4339f$025f1960$

A ver... crapulita localiza el mensaje del autor Juan

Carlos Haces Gil Montfort, que acaba de poner ampliadas sus
experiencias que me habia confirmado por mail.

Con el "Ingeniero" Juan Carlos Haces Gil Montfort que hable
Peni. Entre ellos se entenderán mejor.

¿te molesta que tenga yo razon? que raro si

resulta que a lo mejor la tengo siempre ¿no?...

No a la primera y no a la segunda.

Y si no sabes leer. aprende a leer que es lo que ha

puesto. Anda... repasa... que tu propia INUTILIDAD te ahoga
en tu veneno porque NO ha dicho NADA de las
conclusiones que tu sacas.

Entiendo lo que leo mejor que tu y escribo, también, mejor
que tu.

¿Cómo va el libro? :-))))))))))))))))))))

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




wrote in message

news:974801c4339c$0b4013c0$

Está claro. Quieres tener razón a toda costa.

Veamos.

1- Este ha formateado (dos veces) y no ha resuelto el
problema con el formateo.

2- Activa el firewall de Windows, tan estupendo, según tu,
pero que parece que no sirvió para nada y ha tenido que
instalar el de SYMANTEC. :-)))))))))))))))))).

3- Está claro que el problema le viene del exterior y no
del interior.

4- También está claro que no se entera de lo que está
ocurriendo y sus conclusiones lo ratifican.

Y todo esto en ¡"Sólo cinco horas de pruebas"! y no nos
dice que haya instalado los programas y los datos.

Tella, este no desentona con Peni y demás seguidores tuyos,
apúntalo.

¿cómo va el libro? :-)))))))))))))))))))))))))))

He recibido este mail personal de una persona (he ocultado

su identidad) lector de los foros como resumen de sus
pruebas con sasster. Merece la pena leerlo.

From: Juan Carlos xxxxxxx xxxx xxxxxxx

[mailto:]

Sent: jueves, 06 de mayo de 2004 16:39
To: JM Tella Llop [MVP Windows]
Subject: Fw: [Articulo] Blaster-Sasser: nuevos sistemas de

INTRUSION. Planteamiento y soluciones (borrador)

En relación a lo mismo.

Ayer aprovechando que estaba formateando la computadora de

la que le hablé

anteriormente y en base a unos posts en los que se

mencionaban problemas con

el firewall del XP me puse a hacer algunas pruebas:

1.- Instalación limpia del XP.
2.- Instalación del parche para el Blaster.
3.- Pruebas activando y desactivando el firewall

del XP, todo

correcto.
4.- Conexión a Internet por medio de ADSL sin

poner el parche para

el Sasser.
5.- Ya conectado a Internet desactivación del

firewall.

6.- Ni cinco minutos y el equipo ya estaba

reiniciando con el

mensaje de error en LSA Shell, etc., etc., etc.
7.- Reinicio de la computadora sin conectar a

Internet.

8.- Primer síntoma el equipo lento, lento y con el

uso del CPU al

100%.
9.- Segundo síntoma en el administrador de tareas

se encontraban los

procesos avserve.exe y avserve2.exe.
10.- El equipo esta infectado con el Sasser (como

era de esperarse).

11.- Siguiendo con las pruebas se "removió" el

Sasser utilizando la

utilería Fxsasser.exe de Symantec.
12.- Se cargo el parche de Microsoft para el

Sasser y se reinicio el

equipo.
13.- Se activó el firewall del XP. (pero en menos

de dos segundos ya

aparecía como desactivado).
14.- Se activó el firewall del XP. (pero en menos

de dos segundos ya

aparecía como desactivado).
15.- Se activó el firewall del XP. (pero en menos

de dos segundos ya

aparecía como desactivado).
16.- Se activó el firewall del XP. (pero en menos

de dos segundos ya

aparecía como desactivado).
17.- Instalación del firewall de Symantec (ya que

el del XP no quiso

o no pudo funcionar).
18.- Conexión a Internet con actualizaciones

críticas y firewall de

terceros instalado.
19.- En menos de cinco minutos el firewall detecto

y bloqueo 72

intentos de salida a Internet por procesos de los que

nunca había escuchado

y algunos cuantos que trataron de entrar desde Internet

(desgraciadamente

por la euforia de la prueba no saque copia del log).
20.- Desconexión de Internet, formateo,

instalación en limpio del XP

y por último parches y actualizaciones críticas.
21.- Instalación del firewall de Symantec y

conexión a Internet.

22.- Después de esto y de una hora de estar

conectado y usando el

equipo el firewall detecto algunos intentos de salida (los

normales, al

utilizar la ayuda de Windows por ejemplo).
23.- Conclusiones:
a.-) Una vez que se infecta un equipo con

el Sasser este

queda "tocado", aún después de remover el virus.
b.-) Aplicar el procedimiento que se

documenta en la página

de Microsoft no ayuda en nada (salvo para rescatar datos

antes de

formatear).
c.-) Cuando se hacen estas pruebas es

importante sacar

copias de los log's.

Me imagino que este tipo de pruebas ya la había realizado

usted, pero me

parecio interesante hacerlas por mi mismo, además no me

tomo más de cinco

horas hacer y deshacer con esto, aprovechando además para

tener al usuario

por un lado para que él mismo constatara lo que puede

ocasionar el uso

irresponsable de su herramienta de trabajo (espero no le

deshabilite

nuevamente el firewall y ya no le preste el equipo a sus

hijos).

De antemano gracias por molestarse leyendo esto y saludos

desde México.

From: "Juan Carlos xxxxxx xxx xxxxxx"
To: "JM Tella Llop [MVP Windows]"
Sent: Tuesday, May 04, 2004 9:26 AM
Subject: Re: [Articulo] Blaster-Sasser: nuevos sistemas de

INTRUSION.

Planteamiento y soluciones (borrador)


Hola, antes que nada permitame presentarme, mi nombre es

Juan Carlos xxxxx

xxxx xxxxxxxx, y desde hace veinte años que tengo relación

con el mundo de

las PC's (comenze a los 14 años), por lo que en este

tiempo he aprendido a

lidiar con casí todo tipo de usuarios. Pero, el año pasado

en que por

desgracia nos cayo el Blaster me tope con uno que

desafortunadamente no pude

hacer entrar en razones y me fue imposible formatear su

equipo (como ya se

ha de imaginar fue el director de la empresa en donde me

acababa de

incorporar), y aunque ahora con este Sasser no nos hemos

topado con tantos

problemas casualmente uno de los dos equipos infectados

fue precisamente el

mismo que el del año pasado, sin contar que durante este

tiempo fue uno de

los que más problemas presentaron por cuelgues,

reincidencias de virus,

espías y demás.

Regresando al tema por el que le escribo, gracias a este

artículo mi usuario

por fín pudo entender el por que era necesario formatear y

dejarlo "todo" un

día sin su equipo (en estos momentos me estoy dando el

gusto), cosa que no

logré ni con los artículos del Blaster, por lo que le

agradezco sinceramente

la ayuda desinteresada que presta a todo el que la quiera

tomar a través de

los foros y sitios de Internet.

Sin más por el momento me despido de usted envíandole un

cordial saludo

desde México y poninedome a sus ordenes si algún día

decide visitar estas

tierras y necesita de lo que sea.

Atte.

Ing. Juan Carlos xxxxxx xxx xxxxxxx
Monterrey, N.L.
México

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




.

.

Seria hacer la prueba con Sasser... a ver como le va?

-
Rodolfo Parrado Gutiérrez
Bogotá - Colombia
-
MVP Windows Server - Networking
MCT, MCSE, MCSA, MCP+I
-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
-
Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-

"Mr Big Dragon" escribió en el mensaje news:
Curioso,
Estuve jugando con una maquina infectada de Blaster completamente de cara a internet via modem,
despues de pasar la vacuna y de aplicar el parche de MS no tuve ningun problema para poner el Firewall posteriormente.

el log de eventos no muestra nada extraño despues de la limpieza.

Seria cuestion de suerte o me faltaria mas tiempo de pruebas?


Saludos
Mr Big Dragon



"JM Tella Llop [MVP Windows]" wrote in message news:ul$
He recibido este mail personal de una persona (he ocultado su identidad) lector de los foros como resumen de sus pruebas con sasster. Merece la pena leerlo.



From: Juan Carlos xxxxxxx xxxx xxxxxxx [mailto:]
Sent: jueves, 06 de mayo de 2004 16:39
To: JM Tella Llop [MVP Windows]
Subject: Fw: [Articulo] Blaster-Sasser: nuevos sistemas de INTRUSION. Planteamiento y soluciones (borrador)

En relación a lo mismo.

Ayer aprovechando que estaba formateando la computadora de la que le hablé
anteriormente y en base a unos posts en los que se mencionaban problemas con
el firewall del XP me puse a hacer algunas pruebas:

1.- Instalación limpia del XP.
2.- Instalación del parche para el Blaster.
3.- Pruebas activando y desactivando el firewall del XP, todo
correcto.
4.- Conexión a Internet por medio de ADSL sin poner el parche para
el Sasser.
5.- Ya conectado a Internet desactivación del firewall.
6.- Ni cinco minutos y el equipo ya estaba reiniciando con el
mensaje de error en LSA Shell, etc., etc., etc.
7.- Reinicio de la computadora sin conectar a Internet.
8.- Primer síntoma el equipo lento, lento y con el uso del CPU al
100%.
9.- Segundo síntoma en el administrador de tareas se encontraban los
procesos avserve.exe y avserve2.exe.
10.- El equipo esta infectado con el Sasser (como era de esperarse).
11.- Siguiendo con las pruebas se "removió" el Sasser utilizando la
utilería Fxsasser.exe de Symantec.
12.- Se cargo el parche de Microsoft para el Sasser y se reinicio el
equipo.
13.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
14.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
15.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
16.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
17.- Instalación del firewall de Symantec (ya que el del XP no quiso
o no pudo funcionar).
18.- Conexión a Internet con actualizaciones críticas y firewall de
terceros instalado.
19.- En menos de cinco minutos el firewall detecto y bloqueo 72
intentos de salida a Internet por procesos de los que nunca había escuchado
y algunos cuantos que trataron de entrar desde Internet (desgraciadamente
por la euforia de la prueba no saque copia del log).
20.- Desconexión de Internet, formateo, instalación en limpio del XP
y por último parches y actualizaciones críticas.
21.- Instalación del firewall de Symantec y conexión a Internet.
22.- Después de esto y de una hora de estar conectado y usando el
equipo el firewall detecto algunos intentos de salida (los normales, al
utilizar la ayuda de Windows por ejemplo).
23.- Conclusiones:
a.-) Una vez que se infecta un equipo con el Sasser este
queda "tocado", aún después de remover el virus.
b.-) Aplicar el procedimiento que se documenta en la página
de Microsoft no ayuda en nada (salvo para rescatar datos antes de
formatear).
c.-) Cuando se hacen estas pruebas es importante sacar
copias de los log's.

Me imagino que este tipo de pruebas ya la había realizado usted, pero me
parecio interesante hacerlas por mi mismo, además no me tomo más de cinco
horas hacer y deshacer con esto, aprovechando además para tener al usuario
por un lado para que él mismo constatara lo que puede ocasionar el uso
irresponsable de su herramienta de trabajo (espero no le deshabilite
nuevamente el firewall y ya no le preste el equipo a sus hijos).

De antemano gracias por molestarse leyendo esto y saludos desde México.

From: "Juan Carlos xxxxxx xxx xxxxxx"
To: "JM Tella Llop [MVP Windows]"
Sent: Tuesday, May 04, 2004 9:26 AM
Subject: Re: [Articulo] Blaster-Sasser: nuevos sistemas de INTRUSION.
Planteamiento y soluciones (borrador)


Hola, antes que nada permitame presentarme, mi nombre es Juan Carlos xxxxx
xxxx xxxxxxxx, y desde hace veinte años que tengo relación con el mundo de
las PC's (comenze a los 14 años), por lo que en este tiempo he aprendido a
lidiar con casí todo tipo de usuarios. Pero, el año pasado en que por
desgracia nos cayo el Blaster me tope con uno que desafortunadamente no pude
hacer entrar en razones y me fue imposible formatear su equipo (como ya se
ha de imaginar fue el director de la empresa en donde me acababa de
incorporar), y aunque ahora con este Sasser no nos hemos topado con tantos
problemas casualmente uno de los dos equipos infectados fue precisamente el
mismo que el del año pasado, sin contar que durante este tiempo fue uno de
los que más problemas presentaron por cuelgues, reincidencias de virus,
espías y demás.

Regresando al tema por el que le escribo, gracias a este artículo mi usuario
por fín pudo entender el por que era necesario formatear y dejarlo "todo" un
día sin su equipo (en estos momentos me estoy dando el gusto), cosa que no
logré ni con los artículos del Blaster, por lo que le agradezco sinceramente
la ayuda desinteresada que presta a todo el que la quiera tomar a través de
los foros y sitios de Internet.

Sin más por el momento me despido de usted envíandole un cordial saludo
desde México y poninedome a sus ordenes si algún día decide visitar estas
tierras y necesita de lo que sea.

Atte.

Ing. Juan Carlos xxxxxx xxx xxxxxxx
Monterrey, N.L.
México

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Seria hacer la prueba con Sasser... a ver como le va?

-
Rodolfo Parrado Gutiérrez
Bogotá - Colombia
-
MVP Windows Server - Networking
MCT, MCSE, MCSA, MCP+I
-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
-
Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-

"Mr Big Dragon" escribió en el mensaje news:
Curioso,
Estuve jugando con una maquina infectada de Blaster completamente de cara a internet via modem,
despues de pasar la vacuna y de aplicar el parche de MS no tuve ningun problema para poner el Firewall posteriormente.

el log de eventos no muestra nada extraño despues de la limpieza.

Seria cuestion de suerte o me faltaria mas tiempo de pruebas?


Saludos
Mr Big Dragon



"JM Tella Llop [MVP Windows]" wrote in message news:ul$
He recibido este mail personal de una persona (he ocultado su identidad) lector de los foros como resumen de sus pruebas con sasster. Merece la pena leerlo.



From: Juan Carlos xxxxxxx xxxx xxxxxxx [mailto:]
Sent: jueves, 06 de mayo de 2004 16:39
To: JM Tella Llop [MVP Windows]
Subject: Fw: [Articulo] Blaster-Sasser: nuevos sistemas de INTRUSION. Planteamiento y soluciones (borrador)

En relación a lo mismo.

Ayer aprovechando que estaba formateando la computadora de la que le hablé
anteriormente y en base a unos posts en los que se mencionaban problemas con
el firewall del XP me puse a hacer algunas pruebas:

1.- Instalación limpia del XP.
2.- Instalación del parche para el Blaster.
3.- Pruebas activando y desactivando el firewall del XP, todo
correcto.
4.- Conexión a Internet por medio de ADSL sin poner el parche para
el Sasser.
5.- Ya conectado a Internet desactivación del firewall.
6.- Ni cinco minutos y el equipo ya estaba reiniciando con el
mensaje de error en LSA Shell, etc., etc., etc.
7.- Reinicio de la computadora sin conectar a Internet.
8.- Primer síntoma el equipo lento, lento y con el uso del CPU al
100%.
9.- Segundo síntoma en el administrador de tareas se encontraban los
procesos avserve.exe y avserve2.exe.
10.- El equipo esta infectado con el Sasser (como era de esperarse).
11.- Siguiendo con las pruebas se "removió" el Sasser utilizando la
utilería Fxsasser.exe de Symantec.
12.- Se cargo el parche de Microsoft para el Sasser y se reinicio el
equipo.
13.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
14.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
15.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
16.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
17.- Instalación del firewall de Symantec (ya que el del XP no quiso
o no pudo funcionar).
18.- Conexión a Internet con actualizaciones críticas y firewall de
terceros instalado.
19.- En menos de cinco minutos el firewall detecto y bloqueo 72
intentos de salida a Internet por procesos de los que nunca había escuchado
y algunos cuantos que trataron de entrar desde Internet (desgraciadamente
por la euforia de la prueba no saque copia del log).
20.- Desconexión de Internet, formateo, instalación en limpio del XP
y por último parches y actualizaciones críticas.
21.- Instalación del firewall de Symantec y conexión a Internet.
22.- Después de esto y de una hora de estar conectado y usando el
equipo el firewall detecto algunos intentos de salida (los normales, al
utilizar la ayuda de Windows por ejemplo).
23.- Conclusiones:
a.-) Una vez que se infecta un equipo con el Sasser este
queda "tocado", aún después de remover el virus.
b.-) Aplicar el procedimiento que se documenta en la página
de Microsoft no ayuda en nada (salvo para rescatar datos antes de
formatear).
c.-) Cuando se hacen estas pruebas es importante sacar
copias de los log's.

Me imagino que este tipo de pruebas ya la había realizado usted, pero me
parecio interesante hacerlas por mi mismo, además no me tomo más de cinco
horas hacer y deshacer con esto, aprovechando además para tener al usuario
por un lado para que él mismo constatara lo que puede ocasionar el uso
irresponsable de su herramienta de trabajo (espero no le deshabilite
nuevamente el firewall y ya no le preste el equipo a sus hijos).

De antemano gracias por molestarse leyendo esto y saludos desde México.

From: "Juan Carlos xxxxxx xxx xxxxxx"
To: "JM Tella Llop [MVP Windows]"
Sent: Tuesday, May 04, 2004 9:26 AM
Subject: Re: [Articulo] Blaster-Sasser: nuevos sistemas de INTRUSION.
Planteamiento y soluciones (borrador)


Hola, antes que nada permitame presentarme, mi nombre es Juan Carlos xxxxx
xxxx xxxxxxxx, y desde hace veinte años que tengo relación con el mundo de
las PC's (comenze a los 14 años), por lo que en este tiempo he aprendido a
lidiar con casí todo tipo de usuarios. Pero, el año pasado en que por
desgracia nos cayo el Blaster me tope con uno que desafortunadamente no pude
hacer entrar en razones y me fue imposible formatear su equipo (como ya se
ha de imaginar fue el director de la empresa en donde me acababa de
incorporar), y aunque ahora con este Sasser no nos hemos topado con tantos
problemas casualmente uno de los dos equipos infectados fue precisamente el
mismo que el del año pasado, sin contar que durante este tiempo fue uno de
los que más problemas presentaron por cuelgues, reincidencias de virus,
espías y demás.

Regresando al tema por el que le escribo, gracias a este artículo mi usuario
por fín pudo entender el por que era necesario formatear y dejarlo "todo" un
día sin su equipo (en estos momentos me estoy dando el gusto), cosa que no
logré ni con los artículos del Blaster, por lo que le agradezco sinceramente
la ayuda desinteresada que presta a todo el que la quiera tomar a través de
los foros y sitios de Internet.

Sin más por el momento me despido de usted envíandole un cordial saludo
desde México y poninedome a sus ordenes si algún día decide visitar estas
tierras y necesita de lo que sea.

Atte.

Ing. Juan Carlos xxxxxx xxx xxxxxxx
Monterrey, N.L.
México

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

¿has entendido entonces lo que te ha comentado dicho

participante?. jeje.

Más que entenderlo, he evaluado su inteligencia. Este
tampoco puede pertenecer a La Resistencia.

Y mucho te preocupas tu por el libro. ¿la vas a comprar?..

Nooooooooooooooo.

Sólo se publicaría en una editorial de tercera y tendrás
que pagar tu la edición.

Hay un capitulo entero dedicado a AMD.

Vistos tus conocimientos de microprocesadores, será un
cápitulo muy interesante :-))))))))))))))))))))))))))))

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




wrote in message

news:947401c4339f$025f1960$

A ver... crapulita localiza el mensaje del autor Juan

Carlos Haces Gil Montfort, que acaba de poner ampliadas sus
experiencias que me habia confirmado por mail.

Con el "Ingeniero" Juan Carlos Haces Gil Montfort que hable
Peni. Entre ellos se entenderán mejor.

¿te molesta que tenga yo razon? que raro si

resulta que a lo mejor la tengo siempre ¿no?...

No a la primera y no a la segunda.

Y si no sabes leer. aprende a leer que es lo que ha

puesto. Anda... repasa... que tu propia INUTILIDAD te ahoga
en tu veneno porque NO ha dicho NADA de las
conclusiones que tu sacas.

Entiendo lo que leo mejor que tu y escribo, también, mejor
que tu.

¿Cómo va el libro? :-))))))))))))))))))))

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




wrote in message

news:974801c4339c$0b4013c0$

Está claro. Quieres tener razón a toda costa.

Veamos.

1- Este ha formateado (dos veces) y no ha resuelto el
problema con el formateo.

2- Activa el firewall de Windows, tan estupendo, según tu,
pero que parece que no sirvió para nada y ha tenido que
instalar el de SYMANTEC. :-)))))))))))))))))).

3- Está claro que el problema le viene del exterior y no
del interior.

4- También está claro que no se entera de lo que está
ocurriendo y sus conclusiones lo ratifican.

Y todo esto en ¡"Sólo cinco horas de pruebas"! y no nos
dice que haya instalado los programas y los datos.

Tella, este no desentona con Peni y demás seguidores tuyos,
apúntalo.

¿cómo va el libro? :-)))))))))))))))))))))))))))

He recibido este mail personal de una persona (he ocultado

su identidad) lector de los foros como resumen de sus
pruebas con sasster. Merece la pena leerlo.

From: Juan Carlos xxxxxxx xxxx xxxxxxx

[mailto:]

Sent: jueves, 06 de mayo de 2004 16:39
To: JM Tella Llop [MVP Windows]
Subject: Fw: [Articulo] Blaster-Sasser: nuevos sistemas de

INTRUSION. Planteamiento y soluciones (borrador)

En relación a lo mismo.

Ayer aprovechando que estaba formateando la computadora de

la que le hablé

anteriormente y en base a unos posts en los que se

mencionaban problemas con

el firewall del XP me puse a hacer algunas pruebas:

1.- Instalación limpia del XP.
2.- Instalación del parche para el Blaster.
3.- Pruebas activando y desactivando el firewall

del XP, todo

correcto.
4.- Conexión a Internet por medio de ADSL sin

poner el parche para

el Sasser.
5.- Ya conectado a Internet desactivación del

firewall.

6.- Ni cinco minutos y el equipo ya estaba

reiniciando con el

mensaje de error en LSA Shell, etc., etc., etc.
7.- Reinicio de la computadora sin conectar a

Internet.

8.- Primer síntoma el equipo lento, lento y con el

uso del CPU al

100%.
9.- Segundo síntoma en el administrador de tareas

se encontraban los

procesos avserve.exe y avserve2.exe.
10.- El equipo esta infectado con el Sasser (como

era de esperarse).

11.- Siguiendo con las pruebas se "removió" el

Sasser utilizando la

utilería Fxsasser.exe de Symantec.
12.- Se cargo el parche de Microsoft para el

Sasser y se reinicio el

equipo.
13.- Se activó el firewall del XP. (pero en menos

de dos segundos ya

aparecía como desactivado).
14.- Se activó el firewall del XP. (pero en menos

de dos segundos ya

aparecía como desactivado).
15.- Se activó el firewall del XP. (pero en menos

de dos segundos ya

aparecía como desactivado).
16.- Se activó el firewall del XP. (pero en menos

de dos segundos ya

aparecía como desactivado).
17.- Instalación del firewall de Symantec (ya que

el del XP no quiso

o no pudo funcionar).
18.- Conexión a Internet con actualizaciones

críticas y firewall de

terceros instalado.
19.- En menos de cinco minutos el firewall detecto

y bloqueo 72

intentos de salida a Internet por procesos de los que

nunca había escuchado

y algunos cuantos que trataron de entrar desde Internet

(desgraciadamente

por la euforia de la prueba no saque copia del log).
20.- Desconexión de Internet, formateo,

instalación en limpio del XP

y por último parches y actualizaciones críticas.
21.- Instalación del firewall de Symantec y

conexión a Internet.

22.- Después de esto y de una hora de estar

conectado y usando el

equipo el firewall detecto algunos intentos de salida (los

normales, al

utilizar la ayuda de Windows por ejemplo).
23.- Conclusiones:
a.-) Una vez que se infecta un equipo con

el Sasser este

queda "tocado", aún después de remover el virus.
b.-) Aplicar el procedimiento que se

documenta en la página

de Microsoft no ayuda en nada (salvo para rescatar datos

antes de

formatear).
c.-) Cuando se hacen estas pruebas es

importante sacar

copias de los log's.

Me imagino que este tipo de pruebas ya la había realizado

usted, pero me

parecio interesante hacerlas por mi mismo, además no me

tomo más de cinco

horas hacer y deshacer con esto, aprovechando además para

tener al usuario

por un lado para que él mismo constatara lo que puede

ocasionar el uso

irresponsable de su herramienta de trabajo (espero no le

deshabilite

nuevamente el firewall y ya no le preste el equipo a sus

hijos).

De antemano gracias por molestarse leyendo esto y saludos

desde México.

From: "Juan Carlos xxxxxx xxx xxxxxx"
To: "JM Tella Llop [MVP Windows]"
Sent: Tuesday, May 04, 2004 9:26 AM
Subject: Re: [Articulo] Blaster-Sasser: nuevos sistemas de

INTRUSION.

Planteamiento y soluciones (borrador)


Hola, antes que nada permitame presentarme, mi nombre es

Juan Carlos xxxxx

xxxx xxxxxxxx, y desde hace veinte años que tengo relación

con el mundo de

las PC's (comenze a los 14 años), por lo que en este

tiempo he aprendido a

lidiar con casí todo tipo de usuarios. Pero, el año pasado

en que por

desgracia nos cayo el Blaster me tope con uno que

desafortunadamente no pude

hacer entrar en razones y me fue imposible formatear su

equipo (como ya se

ha de imaginar fue el director de la empresa en donde me

acababa de

incorporar), y aunque ahora con este Sasser no nos hemos

topado con tantos

problemas casualmente uno de los dos equipos infectados

fue precisamente el

mismo que el del año pasado, sin contar que durante este

tiempo fue uno de

los que más problemas presentaron por cuelgues,

reincidencias de virus,

espías y demás.

Regresando al tema por el que le escribo, gracias a este

artículo mi usuario

por fín pudo entender el por que era necesario formatear y

dejarlo "todo" un

día sin su equipo (en estos momentos me estoy dando el

gusto), cosa que no

logré ni con los artículos del Blaster, por lo que le

agradezco sinceramente

la ayuda desinteresada que presta a todo el que la quiera

tomar a través de

los foros y sitios de Internet.

Sin más por el momento me despido de usted envíandole un

cordial saludo

desde México y poninedome a sus ordenes si algún día

decide visitar estas

tierras y necesita de lo que sea.

Atte.

Ing. Juan Carlos xxxxxx xxx xxxxxxx
Monterrey, N.L.
México

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




.

.

.

El Thu, 6 May 2004 12:19:10 -0700 escribió:

No a la primera y no a la segunda.

Demuestralo. La gente lleva unos cuantos dias pidiendo RAZONES tecnicas
por las que tú afirmas que no es necesario formatear. Dame solamente una
razon para creer que mi ordenador va a estar limpio despues del sasser. Si
formatear esta TAN mal, ¿habrá razones para desaconsejarlo no?