Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

[Seguridad] Experiencias de una infeccion con sasster

06/05/2004 - 19:45 por JM Tella Llop [MVP Windows] | Informe spam
Ayuda Hacer una pregunta
He recibido este mail personal de una persona (he ocultado su identidad) lector de los foros como resumen de sus pruebas con sasster. Merece la pena leerlo.



From: Juan Carlos xxxxxxx xxxx xxxxxxx [mailto:jxxxxx@hotmail.com]
Sent: jueves, 06 de mayo de 2004 16:39
To: JM Tella Llop [MVP Windows]
Subject: Fw: [Articulo] Blaster-Sasser: nuevos sistemas de INTRUSION. Planteamiento y soluciones (borrador)

En relación a lo mismo.

Ayer aprovechando que estaba formateando la computadora de la que le hablé
anteriormente y en base a unos posts en los que se mencionaban problemas con
el firewall del XP me puse a hacer algunas pruebas:

1.- Instalación limpia del XP.
2.- Instalación del parche para el Blaster.
3.- Pruebas activando y desactivando el firewall del XP, todo
correcto.
4.- Conexión a Internet por medio de ADSL sin poner el parche para
el Sasser.
5.- Ya conectado a Internet desactivación del firewall.
6.- Ni cinco minutos y el equipo ya estaba reiniciando con el
mensaje de error en LSA Shell, etc., etc., etc.
7.- Reinicio de la computadora sin conectar a Internet.
8.- Primer síntoma el equipo lento, lento y con el uso del CPU al
100%.
9.- Segundo síntoma en el administrador de tareas se encontraban los
procesos avserve.exe y avserve2.exe.
10.- El equipo esta infectado con el Sasser (como era de esperarse).
11.- Siguiendo con las pruebas se "removió" el Sasser utilizando la
utilería Fxsasser.exe de Symantec.
12.- Se cargo el parche de Microsoft para el Sasser y se reinicio el
equipo.
13.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
14.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
15.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
16.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
17.- Instalación del firewall de Symantec (ya que el del XP no quiso
o no pudo funcionar).
18.- Conexión a Internet con actualizaciones críticas y firewall de
terceros instalado.
19.- En menos de cinco minutos el firewall detecto y bloqueo 72
intentos de salida a Internet por procesos de los que nunca había escuchado
y algunos cuantos que trataron de entrar desde Internet (desgraciadamente
por la euforia de la prueba no saque copia del log).
20.- Desconexión de Internet, formateo, instalación en limpio del XP
y por último parches y actualizaciones críticas.
21.- Instalación del firewall de Symantec y conexión a Internet.
22.- Después de esto y de una hora de estar conectado y usando el
equipo el firewall detecto algunos intentos de salida (los normales, al
utilizar la ayuda de Windows por ejemplo).
23.- Conclusiones:
a.-) Una vez que se infecta un equipo con el Sasser este
queda "tocado", aún después de remover el virus.
b.-) Aplicar el procedimiento que se documenta en la página
de Microsoft no ayuda en nada (salvo para rescatar datos antes de
formatear).
c.-) Cuando se hacen estas pruebas es importante sacar
copias de los log's.

Me imagino que este tipo de pruebas ya la había realizado usted, pero me
parecio interesante hacerlas por mi mismo, además no me tomo más de cinco
horas hacer y deshacer con esto, aprovechando además para tener al usuario
por un lado para que él mismo constatara lo que puede ocasionar el uso
irresponsable de su herramienta de trabajo (espero no le deshabilite
nuevamente el firewall y ya no le preste el equipo a sus hijos).

De antemano gracias por molestarse leyendo esto y saludos desde México.

From: "Juan Carlos xxxxxx xxx xxxxxx" <jxxxxxx@hotmail.com>
To: "JM Tella Llop [MVP Windows]" <jmtella@XXXmvps.org>
Sent: Tuesday, May 04, 2004 9:26 AM
Subject: Re: [Articulo] Blaster-Sasser: nuevos sistemas de INTRUSION.
Planteamiento y soluciones (borrador)


Hola, antes que nada permitame presentarme, mi nombre es Juan Carlos xxxxx
xxxx xxxxxxxx, y desde hace veinte años que tengo relación con el mundo de
las PC's (comenze a los 14 años), por lo que en este tiempo he aprendido a
lidiar con casí todo tipo de usuarios. Pero, el año pasado en que por
desgracia nos cayo el Blaster me tope con uno que desafortunadamente no pude
hacer entrar en razones y me fue imposible formatear su equipo (como ya se
ha de imaginar fue el director de la empresa en donde me acababa de
incorporar), y aunque ahora con este Sasser no nos hemos topado con tantos
problemas casualmente uno de los dos equipos infectados fue precisamente el
mismo que el del año pasado, sin contar que durante este tiempo fue uno de
los que más problemas presentaron por cuelgues, reincidencias de virus,
espías y demás.

Regresando al tema por el que le escribo, gracias a este artículo mi usuario
por fín pudo entender el por que era necesario formatear y dejarlo "todo" un
día sin su equipo (en estos momentos me estoy dando el gusto), cosa que no
logré ni con los artículos del Blaster, por lo que le agradezco sinceramente
la ayuda desinteresada que presta a todo el que la quiera tomar a través de
los foros y sitios de Internet.

Sin más por el momento me despido de usted envíandole un cordial saludo
desde México y poninedome a sus ordenes si algún día decide visitar estas
tierras y necesita de lo que sea.

Atte.

Ing. Juan Carlos xxxxxx xxx xxxxxxx
Monterrey, N.L.
México

Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
email Siga el debateRespuesta 43 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#36 Diego Calleja García
07/05/2004 - 01:25 | Informe spam
El Thu, 6 May 2004 13:38:03 -0700 escribió:

Nunca apuesto.
De macGraw Hill sólo compro libros de la serie roja y de ti
, cómo conozco tu capacidad intelectual, nunca compraría un
libro.




Está muy bien comprar libros. ¿Pero ha probado a leerlos y a aprender de
ellos? ;)
Respuesta Responder a este mensaje
#37 Vulpes
07/05/2004 - 07:18 | Informe spam
Creo que no has leido para nada, o no has entendido nada
del articulo de JM Tella.
El gusano es una tonteria de quitar. Y no quedan restos.
Pero si ademas del gusano o en lugar de él, has sufrido
una INTRUSION te habrán dejado cualquier script, o
cualquier rootkit que NADIE te va a poder quitar.

Microsoft dice bien: ellos remueven el gusano. J*der.. y
yo, y mi hermano pequeño y no le hace falta nada.

Por favor, lee con detalle el articulo de JM Tella.

Vulpes vs Corvus



[Filtrado por bobo] <- KillFile para los horteras
Ille Corvus

[Filtrado por inculto] <- Troll con cero aportaciones
Maximilian Heel




Pues me sigue extrañando mucho, ya que hace un rato,


logré
tener una conferencia por chat con soporte técnico de
micrososft (de Estados Unidos), y aproveché para


preguntar
al respecto, y me contestó que no era necesario


formatear,
aunque claro, puede hacerse para garantizar aún más la
seguridad, sin embargo, era suficiente con seguir los
pasos de recuperación señalados por microsoft, pero no


era
estrictamente necesario un formateo y reinstalación.

¿Será que este señor Carlos de Monterrey N.L. Mexico
(saludos paisano, también soy de ahi), siguió todos los
pasos de forma adecuada? Tal vez la utilidad


FXSASSER.EXE
no es suficiente, y ahi no dice que haya usado la de
microsoft, ni que haya seguido los pasos que ellos


indican.

E aquí la trascripción de los pasos de recuperación:

RECOVERY:

If your computer has been infected with this virus you
should first take the following step to protect against
future infection

.. To protect against future infections install


Microsoft
Security Bulletin MS04-011
<www.microsoft.com/technet/security/bulletin/ms04-
011.mspx> immediately.


Once you have applied the update to prevent against


future
infection, you can then take steps to clean your system
from the current infection. To clean your system from


the
current infection, please contact your preferred


antivirus
vendor or refer to Microsoft's cleaning tool. Currently,
Microsoft's cleaning tool successfully removes the
original Sasser worm and the B, C and D variant.

If your computer is vulnerable to the worm, the worm may
cause LSASS.EXE to crash which will force the operating
system to shutdown after 60 seconds. This shutdown can


be
aborted on Windows XP systems by using the built-
in "shutdown.exe -a" command. This shutdown can NOT be
aborted on Windows 2000 systems.

On Windows 2000 systems, to prevent LSASS.EXE from
crashing (thereby restarting the operating system)


unplug
the network cable (or disable the network adapter before
LSASS.EXE crashes) and then perform any one of the
following steps to prevent the worm from crashing
LSASS.EXE:

1.
Create a file called %systemroot%\debug\dcpromo.log and
make the file read-only. To do this, type the following
command:

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r


%
systemroot%\debug\dcpromo.log

NOTE: This is the most effective mitigation technique as
it completely mitigates this vulnerability by causing


the
vulnerable code to never be executed. This work-around
will work for packets sent to any vulnerable port.

2.
Enable advanced TCP/IP filtering on all adapters to


block
all un-solicited inbound TCP packets

.. Go to Start, Run and type Control and press enter

.. In the new Control Panel window double click on


Network
and Dialup Connections

.. Right click on the adapter that is connected to the
Internet or the infected network and select Properties

.. Double click Internet Protocol (TCP/IP)

.. Click Advanced

.. Select the Options tab

.. Double click TCP/IP filtering

.. Check the Enable TCP/IP filtering (all adapters)


checkbox

.. Select the Permit Only button above TCP Ports

NOTE: Do NOT add any ports to this list and do NOT


select
the Permit Only button above the UDP Ports label.

.. Press OK 4 times and then select Yes when prompted to
reboot the system (you must reboot for these settings to
take effect)


This is an alternate mitigation technique that can be


used
to block all attempts to exploit the vulnerability via


the
TCP protocol. This will not prevent malformed UDP


packets
from reaching a vulnerable port and does not completely
block the vulnerability like the steps outlined above.

3.
Temporarily stop the server service by typing the
following command line:

net stop server /y

NOTE: This technique will only block exploit attempts


that
occur via TCP 139 and 445.


If the machine is currently infected with the Sasser


worm
it may start flooding the local network connection as


soon
as the cable is plugged back in making it impossible to
download updates. To temporarily disable the worm use


Task
Manager to kill the following processes:

.. End any process beginning with 4 or more numbers
and "_up.exe" (for example, 12345_up.exe)

.. End any process starting with avserve (for example,
avserve.exe, avserve2.exe)

.. End any process named skynetave.exe

.. End any process named hkey.exe

.. End any process named msiwin84.exe

.. End any process named wmiprvsw.exe

NOTE: Do not end the process named wmiprvse.exe it is a
legitimate system process.


After stopping the worm processes you should be able to
download the security update and a Sasser removal tool.

PSS Security Response Team


.

Respuesta Responder a este mensaje
#38 Antonio
07/05/2004 - 15:07 | Informe spam
"Anonymous",¿alguna vez en tu vida te dieron una patada
entre los co++++ y el cu++++? este es el equivalente, duele
hasta el año que entra.Salud!
Sin ánimo de ofender a nadie respondo a cada punto:

escribió en el mensaje
news:974801c4339c$0b4013c0$
Está claro. Quieres tener razón a toda costa.

Veamos.

1- Este ha formateado (dos veces) y no ha resuelto el
problema con el formateo.



expuse en el
documento original, se formateo dos veces porque después


de la primera yo
provoqué que se volviera a infectar.

2- Activa el firewall de Windows, tan estupendo, según tu,
pero que parece que no sirvió para nada y ha tenido que
instalar el de SYMANTEC. :-)))))))))))))))))).



bien en los demás
portátiles de la compañía, y en este caso en particular


cuando se infecto el
equipo no estaba activado porque el usuario lo desactivo


para poder chatear,
bajar música con el Kazza y correr algunos juegos por


Internet. Después de
formatear funciono bien hasta que lo desactivamos para


hacer pruebas con el
Sasser, después de la infección y "remoción" del mismo fue


cuando el
firewall falló. En cuanto al de SYMANTEC lo compro la


compañía para
instalarlo en las portátiles que tienen Win 2K.

3- Está claro que el problema le viene del exterior y no
del interior.



infectó con el Sasser),
pero después de eso los intentos de conectar a Internet


venían del interior,
además de algunos cuantos intentos de entrar al equipo del


exterior.

4- También está claro que no se entera de lo que está
ocurriendo y sus conclusiones lo ratifican.



antes del Sasser el
equipo funcionaba bien, después del Sasser ya no y después


de volver a
formatear y protegerlo del Sasser volvió a funcionar bien.

Y todo esto en ¡"Sólo cinco horas de pruebas"! y no nos
dice que haya instalado los programas y los datos.



después de los
resultados, ¿o acaso necesitas tirarte cien veces de un


edificio para
comprobar que no puedes volar?, en ocasiones las pruebas


son concluyentes y
punto.

Tella, este no desentona con Peni y demás seguidores tuyos,
apúntalo.



"Tella", es más ni
siquiera a usted, yo tomo de los foros lo que me sirve


venga de quien venga
incluidos de los Sres. Ille Corvus y SemiP cuando sus


post's lo valen,

¿cómo va el libro? :-)))))))))))))))))))))))))))






He recibido este mail personal de una persona (he ocultado


su identidad) lector de los foros como resumen de sus
pruebas con sasster. Merece la pena leerlo.



From: Juan Carlos xxxxxxx xxxx xxxxxxx


[mailto:]
Sent: jueves, 06 de mayo de 2004 16:39
To: JM Tella Llop [MVP Windows]
Subject: Fw: [Articulo] Blaster-Sasser: nuevos sistemas de


INTRUSION. Planteamiento y soluciones (borrador)

En relación a lo mismo.

Ayer aprovechando que estaba formateando la computadora de


la que le hablé
anteriormente y en base a unos posts en los que se


mencionaban problemas con
el firewall del XP me puse a hacer algunas pruebas:

1.- Instalación limpia del XP.
2.- Instalación del parche para el Blaster.
3.- Pruebas activando y desactivando el firewall


del XP, todo
correcto.
4.- Conexión a Internet por medio de ADSL sin


poner el parche para
el Sasser.
5.- Ya conectado a Internet desactivación del


firewall.
6.- Ni cinco minutos y el equipo ya estaba


reiniciando con el
mensaje de error en LSA Shell, etc., etc., etc.
7.- Reinicio de la computadora sin conectar a


Internet.
8.- Primer síntoma el equipo lento, lento y con el


uso del CPU al
100%.
9.- Segundo síntoma en el administrador de tareas


se encontraban los
procesos avserve.exe y avserve2.exe.
10.- El equipo esta infectado con el Sasser (como


era de esperarse).
11.- Siguiendo con las pruebas se "removió" el


Sasser utilizando la
utilería Fxsasser.exe de Symantec.
12.- Se cargo el parche de Microsoft para el


Sasser y se reinicio el
equipo.
13.- Se activó el firewall del XP. (pero en menos


de dos segundos ya
aparecía como desactivado).
14.- Se activó el firewall del XP. (pero en menos


de dos segundos ya
aparecía como desactivado).
15.- Se activó el firewall del XP. (pero en menos


de dos segundos ya
aparecía como desactivado).
16.- Se activó el firewall del XP. (pero en menos


de dos segundos ya
aparecía como desactivado).
17.- Instalación del firewall de Symantec (ya que


el del XP no quiso
o no pudo funcionar).
18.- Conexión a Internet con actualizaciones


críticas y firewall de
terceros instalado.
19.- En menos de cinco minutos el firewall detecto


y bloqueo 72
intentos de salida a Internet por procesos de los que


nunca había escuchado
y algunos cuantos que trataron de entrar desde Internet


(desgraciadamente
por la euforia de la prueba no saque copia del log).
20.- Desconexión de Internet, formateo,


instalación en limpio del XP
y por último parches y actualizaciones críticas.
21.- Instalación del firewall de Symantec y


conexión a Internet.
22.- Después de esto y de una hora de estar


conectado y usando el
equipo el firewall detecto algunos intentos de salida (los


normales, al
utilizar la ayuda de Windows por ejemplo).
23.- Conclusiones:
a.-) Una vez que se infecta un equipo con


el Sasser este
queda "tocado", aún después de remover el virus.
b.-) Aplicar el procedimiento que se


documenta en la página
de Microsoft no ayuda en nada (salvo para rescatar datos


antes de
formatear).
c.-) Cuando se hacen estas pruebas es


importante sacar
copias de los log's.

Me imagino que este tipo de pruebas ya la había realizado


usted, pero me
parecio interesante hacerlas por mi mismo, además no me


tomo más de cinco
horas hacer y deshacer con esto, aprovechando además para


tener al usuario
por un lado para que él mismo constatara lo que puede


ocasionar el uso
irresponsable de su herramienta de trabajo (espero no le


deshabilite
nuevamente el firewall y ya no le preste el equipo a sus


hijos).

De antemano gracias por molestarse leyendo esto y saludos


desde México.

From: "Juan Carlos xxxxxx xxx xxxxxx"
To: "JM Tella Llop [MVP Windows]"
Sent: Tuesday, May 04, 2004 9:26 AM
Subject: Re: [Articulo] Blaster-Sasser: nuevos sistemas de


INTRUSION.
Planteamiento y soluciones (borrador)


Hola, antes que nada permitame presentarme, mi nombre es


Juan Carlos xxxxx
xxxx xxxxxxxx, y desde hace veinte años que tengo relación


con el mundo de
las PC's (comenze a los 14 años), por lo que en este


tiempo he aprendido a
lidiar con casí todo tipo de usuarios. Pero, el año pasado


en que por
desgracia nos cayo el Blaster me tope con uno que


desafortunadamente no pude
hacer entrar en razones y me fue imposible formatear su


equipo (como ya se
ha de imaginar fue el director de la empresa en donde me


acababa de
incorporar), y aunque ahora con este Sasser no nos hemos


topado con tantos
problemas casualmente uno de los dos equipos infectados


fue precisamente el
mismo que el del año pasado, sin contar que durante este


tiempo fue uno de
los que más problemas presentaron por cuelgues,


reincidencias de virus,
espías y demás.

Regresando al tema por el que le escribo, gracias a este


artículo mi usuario
por fín pudo entender el por que era necesario formatear y


dejarlo "todo" un
día sin su equipo (en estos momentos me estoy dando el


gusto), cosa que no
logré ni con los artículos del Blaster, por lo que le


agradezco sinceramente
la ayuda desinteresada que presta a todo el que la quiera


tomar a través de
los foros y sitios de Internet.

Sin más por el momento me despido de usted envíandole un


cordial saludo
desde México y poninedome a sus ordenes si algún día


decide visitar estas
tierras y necesita de lo que sea.

Atte.

Ing. Juan Carlos xxxxxx xxx xxxxxxx
Monterrey, N.L.
México

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and


confers no rights.
You assume all risk for your use.




.





.

Respuesta Responder a este mensaje
#39 Gwen
07/05/2004 - 20:36 | Informe spam
"Creo que no has leido para nada, o no has entendido nada
del articulo de JM Tella."

Por favor, no es necesario faltar al respeto, yo no lo
estoy haciendo...

Y por supuesto que los he leido y entendido perfectamente,
lo único que me preocupa, es porqué razón microsoft, y su
personal de soporte técnico no son partidarios del
foramateo, y cuando les planteé mi consulta, lo hice
respecto al virus y a ataques directos con el exploit.



Creo que no has leido para nada, o no has entendido nada
del articulo de JM Tella.
El gusano es una tonteria de quitar. Y no quedan restos.
Pero si ademas del gusano o en lugar de él, has sufrido
una INTRUSION te habrán dejado cualquier script, o
cualquier rootkit que NADIE te va a poder quitar.

Microsoft dice bien: ellos remueven el gusano. J*der.. y
yo, y mi hermano pequeño y no le hace falta nada.

Por favor, lee con detalle el articulo de JM Tella.

Vulpes vs Corvus



[Filtrado por bobo] <- KillFile para los horteras
Ille Corvus

[Filtrado por inculto] <- Troll con cero aportaciones
Maximilian Heel




Pues me sigue extrañando mucho, ya que hace un rato,


logré
tener una conferencia por chat con soporte técnico de
micrososft (de Estados Unidos), y aproveché para


preguntar
al respecto, y me contestó que no era necesario


formatear,
aunque claro, puede hacerse para garantizar aún más la
seguridad, sin embargo, era suficiente con seguir los
pasos de recuperación señalados por microsoft, pero no


era
estrictamente necesario un formateo y reinstalación.

¿Será que este señor Carlos de Monterrey N.L. Mexico
(saludos paisano, también soy de ahi), siguió todos los
pasos de forma adecuada? Tal vez la utilidad


FXSASSER.EXE
no es suficiente, y ahi no dice que haya usado la de
microsoft, ni que haya seguido los pasos que ellos


indican.

E aquí la trascripción de los pasos de recuperación:

RECOVERY:

If your computer has been infected with this virus you
should first take the following step to protect against
future infection

.. To protect against future infections install


Microsoft
Security Bulletin MS04-011
<www.microsoft.com/technet/security/bulletin/ms04-
011.mspx> immediately.


Once you have applied the update to prevent against


future
infection, you can then take steps to clean your system
from the current infection. To clean your system from


the
current infection, please contact your preferred


antivirus
vendor or refer to Microsoft's cleaning tool. Currently,
Microsoft's cleaning tool successfully removes the
original Sasser worm and the B, C and D variant.

If your computer is vulnerable to the worm, the worm may
cause LSASS.EXE to crash which will force the operating
system to shutdown after 60 seconds. This shutdown can


be
aborted on Windows XP systems by using the built-
in "shutdown.exe -a" command. This shutdown can NOT be
aborted on Windows 2000 systems.

On Windows 2000 systems, to prevent LSASS.EXE from
crashing (thereby restarting the operating system)


unplug
the network cable (or disable the network adapter before
LSASS.EXE crashes) and then perform any one of the
following steps to prevent the worm from crashing
LSASS.EXE:

1.
Create a file called %systemroot%\debug\dcpromo.log and
make the file read-only. To do this, type the following
command:

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r


%
systemroot%\debug\dcpromo.log

NOTE: This is the most effective mitigation technique as
it completely mitigates this vulnerability by causing


the
vulnerable code to never be executed. This work-around
will work for packets sent to any vulnerable port.

2.
Enable advanced TCP/IP filtering on all adapters to


block
all un-solicited inbound TCP packets

.. Go to Start, Run and type Control and press enter

.. In the new Control Panel window double click on


Network
and Dialup Connections

.. Right click on the adapter that is connected to the
Internet or the infected network and select Properties

.. Double click Internet Protocol (TCP/IP)

.. Click Advanced

.. Select the Options tab

.. Double click TCP/IP filtering

.. Check the Enable TCP/IP filtering (all adapters)


checkbox

.. Select the Permit Only button above TCP Ports

NOTE: Do NOT add any ports to this list and do NOT


select
the Permit Only button above the UDP Ports label.

.. Press OK 4 times and then select Yes when prompted to
reboot the system (you must reboot for these settings to
take effect)


This is an alternate mitigation technique that can be


used
to block all attempts to exploit the vulnerability via


the
TCP protocol. This will not prevent malformed UDP


packets
from reaching a vulnerable port and does not completely
block the vulnerability like the steps outlined above.

3.
Temporarily stop the server service by typing the
following command line:

net stop server /y

NOTE: This technique will only block exploit attempts


that
occur via TCP 139 and 445.


If the machine is currently infected with the Sasser


worm
it may start flooding the local network connection as


soon
as the cable is plugged back in making it impossible to
download updates. To temporarily disable the worm use


Task
Manager to kill the following processes:

.. End any process beginning with 4 or more numbers
and "_up.exe" (for example, 12345_up.exe)

.. End any process starting with avserve (for example,
avserve.exe, avserve2.exe)

.. End any process named skynetave.exe

.. End any process named hkey.exe

.. End any process named msiwin84.exe

.. End any process named wmiprvsw.exe

NOTE: Do not end the process named wmiprvse.exe it is a
legitimate system process.


After stopping the worm processes you should be able to
download the security update and a Sasser removal tool.

PSS Security Response Team


.



.

Respuesta Responder a este mensaje
#40 JM Tella Llop [MVP Windows]
07/05/2004 - 20:41 | Informe spam
Pues entonces, no hace falta que consultes a Microsoft el tema de INTRUSIONES está muy bien definido por la maxima autoridad es seguridad: el CERT. Quizá no entendieron correctamente tu consulta, ya que una consulta clara y precisa sobre una INTRUSION, o sobre la posibilidad de ella simplemente solo admite una respuesta.

NOTA: el virus. es algo anecdotico.


http://www.cert.org/tech_tips/win-U...e.html#E.1

Recover from the intrusion:
Install a clean version of your operating system

Keep in mind that if a machine is compromised, anything on that system could
have been modified, including the kernel, binaries, datafiles, running
processes, and memory. In general, the only way to trust that a machine is
free from backdoors and intruder modifications is to reinstall the operating
system from the distribution media and install all of the security patches
before connecting back to the network. Merely determining and fixing the
vulnerability that was used to initially compromise this machine may not be
enough.

Tenga presente que si se compromete una máquina, cualquier cosa en ese
sistema se habría podido modificar, incluyendo el núcleo, los binarios, los
datafiles, los procesos abiertos y la memoria. En general, la única manera
de confiar en que una máquina está libre de backdoors (puertas traseras) y
de modificaciones del intruso es reinstalar el sistema operativo desde
distribution media e instalar todos los parches de seguridad antes de
conectar de nuevo a la red. Simplemente determinar y parchear la
vulnerabilidad que fue utilizada para comprometer inicialmente esta
máquina pueden no ser bastante.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Gwen" wrote in message news:9ce501c43462$3b822200$

"Creo que no has leido para nada, o no has entendido nada
del articulo de JM Tella."

Por favor, no es necesario faltar al respeto, yo no lo
estoy haciendo...

Y por supuesto que los he leido y entendido perfectamente,
lo único que me preocupa, es porqué razón microsoft, y su
personal de soporte técnico no son partidarios del
foramateo, y cuando les planteé mi consulta, lo hice
respecto al virus y a ataques directos con el exploit.



Creo que no has leido para nada, o no has entendido nada
del articulo de JM Tella.
El gusano es una tonteria de quitar. Y no quedan restos.
Pero si ademas del gusano o en lugar de él, has sufrido
una INTRUSION te habrán dejado cualquier script, o
cualquier rootkit que NADIE te va a poder quitar.

Microsoft dice bien: ellos remueven el gusano. J*der.. y
yo, y mi hermano pequeño y no le hace falta nada.

Por favor, lee con detalle el articulo de JM Tella.

Vulpes vs Corvus



[Filtrado por bobo] <- KillFile para los horteras
Ille Corvus

[Filtrado por inculto] <- Troll con cero aportaciones
Maximilian Heel




Pues me sigue extrañando mucho, ya que hace un rato,


logré
tener una conferencia por chat con soporte técnico de
micrososft (de Estados Unidos), y aproveché para


preguntar
al respecto, y me contestó que no era necesario


formatear,
aunque claro, puede hacerse para garantizar aún más la
seguridad, sin embargo, era suficiente con seguir los
pasos de recuperación señalados por microsoft, pero no


era
estrictamente necesario un formateo y reinstalación.

¿Será que este señor Carlos de Monterrey N.L. Mexico
(saludos paisano, también soy de ahi), siguió todos los
pasos de forma adecuada? Tal vez la utilidad


FXSASSER.EXE
no es suficiente, y ahi no dice que haya usado la de
microsoft, ni que haya seguido los pasos que ellos


indican.

E aquí la trascripción de los pasos de recuperación:

RECOVERY:

If your computer has been infected with this virus you
should first take the following step to protect against
future infection

.. To protect against future infections install


Microsoft
Security Bulletin MS04-011
<www.microsoft.com/technet/security/bulletin/ms04-
011.mspx> immediately.


Once you have applied the update to prevent against


future
infection, you can then take steps to clean your system
from the current infection. To clean your system from


the
current infection, please contact your preferred


antivirus
vendor or refer to Microsoft's cleaning tool. Currently,
Microsoft's cleaning tool successfully removes the
original Sasser worm and the B, C and D variant.

If your computer is vulnerable to the worm, the worm may
cause LSASS.EXE to crash which will force the operating
system to shutdown after 60 seconds. This shutdown can


be
aborted on Windows XP systems by using the built-
in "shutdown.exe -a" command. This shutdown can NOT be
aborted on Windows 2000 systems.

On Windows 2000 systems, to prevent LSASS.EXE from
crashing (thereby restarting the operating system)


unplug
the network cable (or disable the network adapter before
LSASS.EXE crashes) and then perform any one of the
following steps to prevent the worm from crashing
LSASS.EXE:

1.
Create a file called %systemroot%\debug\dcpromo.log and
make the file read-only. To do this, type the following
command:

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r


%
systemroot%\debug\dcpromo.log

NOTE: This is the most effective mitigation technique as
it completely mitigates this vulnerability by causing


the
vulnerable code to never be executed. This work-around
will work for packets sent to any vulnerable port.

2.
Enable advanced TCP/IP filtering on all adapters to


block
all un-solicited inbound TCP packets

.. Go to Start, Run and type Control and press enter

.. In the new Control Panel window double click on


Network
and Dialup Connections

.. Right click on the adapter that is connected to the
Internet or the infected network and select Properties

.. Double click Internet Protocol (TCP/IP)

.. Click Advanced

.. Select the Options tab

.. Double click TCP/IP filtering

.. Check the Enable TCP/IP filtering (all adapters)


checkbox

.. Select the Permit Only button above TCP Ports

NOTE: Do NOT add any ports to this list and do NOT


select
the Permit Only button above the UDP Ports label.

.. Press OK 4 times and then select Yes when prompted to
reboot the system (you must reboot for these settings to
take effect)


This is an alternate mitigation technique that can be


used
to block all attempts to exploit the vulnerability via


the
TCP protocol. This will not prevent malformed UDP


packets
from reaching a vulnerable port and does not completely
block the vulnerability like the steps outlined above.

3.
Temporarily stop the server service by typing the
following command line:

net stop server /y

NOTE: This technique will only block exploit attempts


that
occur via TCP 139 and 445.


If the machine is currently infected with the Sasser


worm
it may start flooding the local network connection as


soon
as the cable is plugged back in making it impossible to
download updates. To temporarily disable the worm use


Task
Manager to kill the following processes:

.. End any process beginning with 4 or more numbers
and "_up.exe" (for example, 12345_up.exe)

.. End any process starting with avserve (for example,
avserve.exe, avserve2.exe)

.. End any process named skynetave.exe

.. End any process named hkey.exe

.. End any process named msiwin84.exe

.. End any process named wmiprvsw.exe

NOTE: Do not end the process named wmiprvse.exe it is a
legitimate system process.


After stopping the worm processes you should be able to
download the security update and a Sasser removal tool.

PSS Security Response Team


.



.

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida