[Seguridad] Experiencias de una infeccion con sasster

He recibido este mail personal de una persona (he ocultado su identidad) lector de los foros como resumen de sus pruebas con sasster. Merece la pena leerlo.



From: Juan Carlos xxxxxxx xxxx xxxxxxx [mailto:jxxxxx@hotmail.com]
Sent: jueves, 06 de mayo de 2004 16:39
To: JM Tella Llop [MVP Windows]
Subject: Fw: [Articulo] Blaster-Sasser: nuevos sistemas de INTRUSION. Planteamiento y soluciones (borrador)

En relación a lo mismo.

Ayer aprovechando que estaba formateando la computadora de la que le hablé
anteriormente y en base a unos posts en los que se mencionaban problemas con
el firewall del XP me puse a hacer algunas pruebas:

1.- Instalación limpia del XP.
2.- Instalación del parche para el Blaster.
3.- Pruebas activando y desactivando el firewall del XP, todo
correcto.
4.- Conexión a Internet por medio de ADSL sin poner el parche para
el Sasser.
5.- Ya conectado a Internet desactivación del firewall.
6.- Ni cinco minutos y el equipo ya estaba reiniciando con el
mensaje de error en LSA Shell, etc., etc., etc.
7.- Reinicio de la computadora sin conectar a Internet.
8.- Primer síntoma el equipo lento, lento y con el uso del CPU al
100%.
9.- Segundo síntoma en el administrador de tareas se encontraban los
procesos avserve.exe y avserve2.exe.
10.- El equipo esta infectado con el Sasser (como era de esperarse).
11.- Siguiendo con las pruebas se "removió" el Sasser utilizando la
utilería Fxsasser.exe de Symantec.
12.- Se cargo el parche de Microsoft para el Sasser y se reinicio el
equipo.
13.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
14.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
15.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
16.- Se activó el firewall del XP. (pero en menos de dos segundos ya
aparecía como desactivado).
17.- Instalación del firewall de Symantec (ya que el del XP no quiso
o no pudo funcionar).
18.- Conexión a Internet con actualizaciones críticas y firewall de
terceros instalado.
19.- En menos de cinco minutos el firewall detecto y bloqueo 72
intentos de salida a Internet por procesos de los que nunca había escuchado
y algunos cuantos que trataron de entrar desde Internet (desgraciadamente
por la euforia de la prueba no saque copia del log).
20.- Desconexión de Internet, formateo, instalación en limpio del XP
y por último parches y actualizaciones críticas.
21.- Instalación del firewall de Symantec y conexión a Internet.
22.- Después de esto y de una hora de estar conectado y usando el
equipo el firewall detecto algunos intentos de salida (los normales, al
utilizar la ayuda de Windows por ejemplo).
23.- Conclusiones:
a.-) Una vez que se infecta un equipo con el Sasser este
queda "tocado", aún después de remover el virus.
b.-) Aplicar el procedimiento que se documenta en la página
de Microsoft no ayuda en nada (salvo para rescatar datos antes de
formatear).
c.-) Cuando se hacen estas pruebas es importante sacar
copias de los log's.

Me imagino que este tipo de pruebas ya la había realizado usted, pero me
parecio interesante hacerlas por mi mismo, además no me tomo más de cinco
horas hacer y deshacer con esto, aprovechando además para tener al usuario
por un lado para que él mismo constatara lo que puede ocasionar el uso
irresponsable de su herramienta de trabajo (espero no le deshabilite
nuevamente el firewall y ya no le preste el equipo a sus hijos).

De antemano gracias por molestarse leyendo esto y saludos desde México.

From: "Juan Carlos xxxxxx xxx xxxxxx" <jxxxxxx@hotmail.com>
To: "JM Tella Llop [MVP Windows]" <jmtella@XXXmvps.org>
Sent: Tuesday, May 04, 2004 9:26 AM
Subject: Re: [Articulo] Blaster-Sasser: nuevos sistemas de INTRUSION.
Planteamiento y soluciones (borrador)


Hola, antes que nada permitame presentarme, mi nombre es Juan Carlos xxxxx
xxxx xxxxxxxx, y desde hace veinte años que tengo relación con el mundo de
las PC's (comenze a los 14 años), por lo que en este tiempo he aprendido a
lidiar con casí todo tipo de usuarios. Pero, el año pasado en que por
desgracia nos cayo el Blaster me tope con uno que desafortunadamente no pude
hacer entrar en razones y me fue imposible formatear su equipo (como ya se
ha de imaginar fue el director de la empresa en donde me acababa de
incorporar), y aunque ahora con este Sasser no nos hemos topado con tantos
problemas casualmente uno de los dos equipos infectados fue precisamente el
mismo que el del año pasado, sin contar que durante este tiempo fue uno de
los que más problemas presentaron por cuelgues, reincidencias de virus,
espías y demás.

Regresando al tema por el que le escribo, gracias a este artículo mi usuario
por fín pudo entender el por que era necesario formatear y dejarlo "todo" un
día sin su equipo (en estos momentos me estoy dando el gusto), cosa que no
logré ni con los artículos del Blaster, por lo que le agradezco sinceramente
la ayuda desinteresada que presta a todo el que la quiera tomar a través de
los foros y sitios de Internet.

Sin más por el momento me despido de usted envíandole un cordial saludo
desde México y poninedome a sus ordenes si algún día decide visitar estas
tierras y necesita de lo que sea.

Atte.

Ing. Juan Carlos xxxxxx xxx xxxxxxx
Monterrey, N.L.
México

Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.