Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

[Seguridad] Virus sasser consideraciones

07/05/2004 - 14:13 por fermu | Informe spam
Ayuda Hacer una pregunta
Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un gusano que para
propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso
LSASS (Local Security Authority Subsystem). Sólo afecta a equipos
Windows 2000/XP y Windows Server 2003 sin actualizar. El virus sasser
actuará de scanner en el equipo afectado para detectar la posibilidad
de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso tráfico de salida
provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de reinicio podría
desaparecer en cuanto su código se perfeccione, con lo cual el único
síntoma que nos quedaría sería el tráfico en los puertos antes citados,
los pasos para desinfectarlos, recomendados por las diferentes casas de
antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del directorio de Windows
y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución del regedit (
Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición, Buscar: avserve)
y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la herramienta de
Restaurar Sistema ( Menú Inicio, Panel de Control, Sistema, Lengueta:
Restaurar sistema, marcar la casilla: Deshabilitar Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP o 2003 puede
recurrirse al Firewall propio. ( Menú Inicio, Panel de Control,
Conexiones de Red, Propiedades de la conexión principal, Lengueta:
Avanzadas, marcar la casilla: Proteger mi equipo y mi red limitando o
impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual que el blaster, es
una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente rootkit. En este
punto, y dada la importancia que tiene la instalación de un rootkit,
cabe definir que es exactamente esta herramienta. Con este nombre
definimos básicamente una herramienta de ocultación de servicios,
conexiones, etc, etc... Un rootkit suele ir ligado a un troyano, es
decir, el troyano es la herramienta para manejar el sistema y el rootkit
la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano, siempre que contemos
con los servicios de un antivirus actualizado no es sencilla, ya que la
mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no contamos con las
herramientas básicas de seguridad en un sistema, es decir, firewall,
antivirus y sistema parcheado y actualizado, la pregunta que cabe
hacernos es: ¿Podemos recuperar nuestro sistema sin formateo?, ¿si
formateamos nuestra máquina estará segura?. Estás son preguntas
controvertidas, al respecto cabe decir, que ni Microsoft ni ninguna casa
de antivirus, recomienda el formateo como medio para recuperar un
sistema. Yo no soy partidario de esta solución ya que, lo veo demasiado
drástico, pero... hay que tener en cuenta nuestra situación mi postura
es que cualquier sistema es recuperable, sin necesidad de formateo.
Poniéndonos de cara a un usuario doméstico, cabe decir que quizas la
solución no sea del todo desacertada. Pero, creo, que habría que mirar
el caso específico de cada usuario. Una vez infectados por el sasser,
debemos valorar si la recuperación del sistema es más rentable (en
cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes parches.


Como conclusión, resaltar que no es aconsejable en absoluto recomendar
el formateo como norma general y recordar que la casa de Antivirus Panda
ha desarrollado una herramienta para desinfectar el PC y recuperarlo a
su estado anterior. Esta solución, sin ser tan drástica como el formateo
podría servir para solventar el problema que se plantea con la infección
de tan peligroso virus, la valoración, como norma general la debería
hacer el usuario, sin imposiciones, cada caso puede ser un mundo, por lo
que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos
email Siga el debateRespuesta 48 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#1 EvilAngel
07/05/2004 - 15:17 | Informe spam
Esta claro q el formateo deberia ser el ultimo recurso a usarse. A
nadie se el obliga a llegar a ese extremo, en este medio hay varios
tipos de usuarios, aquellos q mantienen su equipo al dia, actualizando
antivirus, su programas varios, los q usan el windows update, los q se
informan de manera digital o analoga de los cambios en la informatica,
aquellos q realmente les interesa APRENDER. Por desgracia no todo es
color de rosa, estan aquellos usuarios q compran una pc, con la unica
funcion de estar metidos en el chat, no digo q eso sea malo, no, yo
mismo he estado ahi... el problema radica en: no les interesa
aprender, ni estar enterados de la nuevas tecnologias, ni los nuevos
programas, no se enteran si hay alerta mundial por algun nuevo virus
diseñado con acabar con la raza humana... les preocupa mas si hay
alguna nueva chica en el chat, conseguir su foto, aunq no sea de ella,
aquellos q solo dan click sin pensar en las consecuencias, aquellas q
descargan cuanta marranada se les ponga en frente, aquellos q instalan
dialer a diestra y siniestra y quieren demandar a Microsoft, Symantec,
etc, por sus propias estupices. Recuerdo q alguien me pidio a lo
ayudara con su pc por q estaba muy lenta, cuando le pase el Ad-Aware,
encontre en la pc, todos los spyware q habidos y por haber en su pc y
el ni siquiera sabia como se habia metido, solo recordaba haber dicho
q si a todas las ventanitas q se abria con tal de q ya no lo
molestara. Abria cuanto correo le llegara al buzon, en fin... es a
esta clase de usuarios a los q realmente se les esta recomendando
llegar a este extremo, aquellos usarios domestico y empresariales q
son IRRESPONSABLES, los miles y miles de problemas q surgen por una
infeccion viral a nivel goblal, no es por q Windows tenga una puerta
abierta, ni por q existan los hackers q pasan la vida buscando errores
en todos los programas, ni por q existan crackers reventando sistemas,
es la IRRESPONSABILIDAD de miles de usuarios, sin descartar uno q otro
Ingeniero o Licenciado en Sistemas.

Me costan el tiempo q ocupa instalar un sistema desde cero, lo he
vivido en carne propia y en las de mis clientes, pero es lo mas sano y
al final resulta mejor. Pero hay quienes no aprenden, ni aprenderan.

Instalar un SO sobre un sistema tocado, es trabajar doble, por q el
sistema volvera a fallar y la molestia del usuario sera el doble, y no
hablemos q a muchos les podria costar el trabajo si la pc es del
patro.


Al final, cada usuario es resposable de su pc y tiene la ultima
palabra.

Saludos...


On Fri, 07 May 2004 14:13:49 +0200, fermu
wrote:

Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un gusano que para
propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso
LSASS (Local Security Authority Subsystem). Sólo afecta a equipos
Windows 2000/XP y Windows Server 2003 sin actualizar. El virus sasser
actuará de scanner en el equipo afectado para detectar la posibilidad
de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso tráfico de salida
provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de reinicio podría
desaparecer en cuanto su código se perfeccione, con lo cual el único
síntoma que nos quedaría sería el tráfico en los puertos antes citados,
los pasos para desinfectarlos, recomendados por las diferentes casas de
antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del directorio de Windows
y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución del regedit (
Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición, Buscar: avserve)
y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la herramienta de
Restaurar Sistema ( Menú Inicio, Panel de Control, Sistema, Lengueta:
Restaurar sistema, marcar la casilla: Deshabilitar Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP o 2003 puede
recurrirse al Firewall propio. ( Menú Inicio, Panel de Control,
Conexiones de Red, Propiedades de la conexión principal, Lengueta:
Avanzadas, marcar la casilla: Proteger mi equipo y mi red limitando o
impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual que el blaster, es
una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente rootkit. En este
punto, y dada la importancia que tiene la instalación de un rootkit,
cabe definir que es exactamente esta herramienta. Con este nombre
definimos básicamente una herramienta de ocultación de servicios,
conexiones, etc, etc... Un rootkit suele ir ligado a un troyano, es
decir, el troyano es la herramienta para manejar el sistema y el rootkit
la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano, siempre que contemos
con los servicios de un antivirus actualizado no es sencilla, ya que la
mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no contamos con las
herramientas básicas de seguridad en un sistema, es decir, firewall,
antivirus y sistema parcheado y actualizado, la pregunta que cabe
hacernos es: ¿Podemos recuperar nuestro sistema sin formateo?, ¿si
formateamos nuestra máquina estará segura?. Estás son preguntas
controvertidas, al respecto cabe decir, que ni Microsoft ni ninguna casa
de antivirus, recomienda el formateo como medio para recuperar un
sistema. Yo no soy partidario de esta solución ya que, lo veo demasiado
drástico, pero... hay que tener en cuenta nuestra situación mi postura
es que cualquier sistema es recuperable, sin necesidad de formateo.
Poniéndonos de cara a un usuario doméstico, cabe decir que quizas la
solución no sea del todo desacertada. Pero, creo, que habría que mirar
el caso específico de cada usuario. Una vez infectados por el sasser,
debemos valorar si la recuperación del sistema es más rentable (en
cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes parches.


Como conclusión, resaltar que no es aconsejable en absoluto recomendar
el formateo como norma general y recordar que la casa de Antivirus Panda
ha desarrollado una herramienta para desinfectar el PC y recuperarlo a
su estado anterior. Esta solución, sin ser tan drástica como el formateo
podría servir para solventar el problema que se plantea con la infección
de tan peligroso virus, la valoración, como norma general la debería
hacer el usuario, sin imposiciones, cada caso puede ser un mundo, por lo
que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos



Never its mysteries are exposed, to the weak human eye unclosed... E.A.P.
Respuesta Responder a este mensaje
#2 JM Tella Llop [MVP Windows]
07/05/2004 - 15:31 | Informe spam
YUo sigo aconsejando el formateo por un simple motivo. El posible rootkit: aara un tecnico en informatica puede ser mas o menos costos quitarlo dependiendo con que tecnicas esté realizado (por suepuesto ninguna herramienta en este caso te lo va a quitar). Pero para un usuario final es algo imposible de hacer.

Miralo bajo el prisma que yo lo miro: yo uso mucho la banca on-line. Realizo muchas transacciones comerciales con mi maquina. Uso mucho las tarjetas de credito para compras online. Tengo informacion confidencial (o importante) de mi trabajo en mi maquina.
Por tanto, no puedo arriesgarme a que en cualquier momento... dicha informacion salga de mi maquina. Y si me meten un rottkit bien diseñado, por mucho que use el parche, me limpie con las herramientas de limpieza de las casas de antivirus, etc. esa informacion saldrá.

Ahora te pregunto tambien: en el hipotetico caso que el ministerior del interior, hacienda, etc. fuese infectado, tu como usuario y para integridad de tus datos no les EXIGIRIAS que formateasen sus maquinas?

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"fermu" wrote in message news:e%
Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un gusano que para
propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso
LSASS (Local Security Authority Subsystem). Sólo afecta a equipos
Windows 2000/XP y Windows Server 2003 sin actualizar. El virus sasser
actuará de scanner en el equipo afectado para detectar la posibilidad
de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso tráfico de salida
provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de reinicio podría
desaparecer en cuanto su código se perfeccione, con lo cual el único
síntoma que nos quedaría sería el tráfico en los puertos antes citados,
los pasos para desinfectarlos, recomendados por las diferentes casas de
antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del directorio de Windows
y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución del regedit (
Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición, Buscar: avserve)
y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la herramienta de
Restaurar Sistema ( Menú Inicio, Panel de Control, Sistema, Lengueta:
Restaurar sistema, marcar la casilla: Deshabilitar Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP o 2003 puede
recurrirse al Firewall propio. ( Menú Inicio, Panel de Control,
Conexiones de Red, Propiedades de la conexión principal, Lengueta:
Avanzadas, marcar la casilla: Proteger mi equipo y mi red limitando o
impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual que el blaster, es
una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente rootkit. En este
punto, y dada la importancia que tiene la instalación de un rootkit,
cabe definir que es exactamente esta herramienta. Con este nombre
definimos básicamente una herramienta de ocultación de servicios,
conexiones, etc, etc... Un rootkit suele ir ligado a un troyano, es
decir, el troyano es la herramienta para manejar el sistema y el rootkit
la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano, siempre que contemos
con los servicios de un antivirus actualizado no es sencilla, ya que la
mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no contamos con las
herramientas básicas de seguridad en un sistema, es decir, firewall,
antivirus y sistema parcheado y actualizado, la pregunta que cabe
hacernos es: ¿Podemos recuperar nuestro sistema sin formateo?, ¿si
formateamos nuestra máquina estará segura?. Estás son preguntas
controvertidas, al respecto cabe decir, que ni Microsoft ni ninguna casa
de antivirus, recomienda el formateo como medio para recuperar un
sistema. Yo no soy partidario de esta solución ya que, lo veo demasiado
drástico, pero... hay que tener en cuenta nuestra situación mi postura
es que cualquier sistema es recuperable, sin necesidad de formateo.
Poniéndonos de cara a un usuario doméstico, cabe decir que quizas la
solución no sea del todo desacertada. Pero, creo, que habría que mirar
el caso específico de cada usuario. Una vez infectados por el sasser,
debemos valorar si la recuperación del sistema es más rentable (en
cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes parches.


Como conclusión, resaltar que no es aconsejable en absoluto recomendar
el formateo como norma general y recordar que la casa de Antivirus Panda
ha desarrollado una herramienta para desinfectar el PC y recuperarlo a
su estado anterior. Esta solución, sin ser tan drástica como el formateo
podría servir para solventar el problema que se plantea con la infección
de tan peligroso virus, la valoración, como norma general la debería
hacer el usuario, sin imposiciones, cada caso puede ser un mundo, por lo
que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos
Respuesta Responder a este mensaje
#3 milon
07/05/2004 - 15:46 | Informe spam
Hash: SHA1

Fecha: Fri, 7 May 2004 15:31:47 +0200
Quien: JM Tella Llop [MVP Windows]
Asunto: Re: [Seguridad] Virus sasser consideraciones
Message-ID:

| YUo sigo aconsejando el formateo por un simple motivo. El posible rootkit: aara un tecnico en informatica puede ser mas o menos costos quitarlo dependiendo con que tecnicas est? realizado (por suepuesto ninguna herramienta en este caso te lo va a quitar). Pero para un usuario final es algo imposible de hacer.

Efectivamente, para un experto en seguridad no es dificil quitarlo. En
cuanto a la característica de ataque cibernético con dicho virus/worm de
estas características, se ha de hacer un formateo CUANTO ANTES. Para no
recibir tantos ataques del exterior. Pero eso debería ser con conocimiento
de quitarlo(si es que cabe, pero normalmente las utilidades no te lo pueden
quitar ni para atrás, porque se quedan registrados en el registro del
Windows y hay que buscarlo uno a uno para quitarlos).

Para un usuario final, le va a ser *IMPOSIBLE* quitar dicho virus.
Entonces, en todo caso, tendrá que formatear sin más.

| Miralo bajo el prisma que yo lo miro: yo uso mucho la banca on-line. Realizo muchas transacciones comerciales con mi maquina. Uso mucho las tarjetas de credito para compras online. Tengo informacion confidencial (o importante) de mi trabajo en mi maquina.

Pues eso es mucho más importante para tí :-) Por lo tanto, toda la
información que manejas del Banco y de las tarjetas entre las compras que
haces por Internet, lo mejor de todo, es que, debas estar securizado ANTE
tipos de ataques que recibas. En todo caso, tendrás que guardar toda la
información que hagas en Internet.

| Por tanto, no puedo arriesgarme a que en cualquier momento... dicha informacion salga de mi maquina. Y si me meten un rottkit bien dise?ado, por mucho que use el parche, me limpie con las herramientas de limpieza de las casas de antivirus, etc. esa informacion saldr?.

Cierto, muy cierto. Eso también puede pasar en Linux, si es que te lo meten
en una Shell(como usuario), y quieran ver si la máquina es vulnerable para
meterle un rootkit y toquetear la máquina a su antojo(normalmente, pueden
hacer estas cosas con el cliente de FTP y otras utilidades que en un Linux
se puede hacer. ESto es, una comparación, OJO.).

Esto también es aplicable en un Windows(dependiendo de lo que se ejecute en
cada momento), pues tendrás que usar siempre un cortafuegos, que permita
limitar en todo momento el tráfico que lleguen del exterior e impida la
entrada en puertos no recomendables.

| Ahora te pregunto tambien: en el hipotetico caso que el ministerior del interior, hacienda, etc. fuese infectado, tu como usuario y para integridad de tus datos no les EXIGIRIAS que formateasen sus maquinas?

Si las máquinas están infectadas, y se tienen los datos importantes, lo más
lógico del mundo, es salvaguardarlos en un soporte magnético y en ciertos
casos, dependiendo de la gravedad del virus(como en el caso del Sasser y
otros), pues es formatear. Y no hay más que hablar, cuando se trata de un
worm, que hace que se te meta un Rootkit o un convertidor de troyanos en la
máquina. De ahí, sí que es un potencial peligro, que no se debería bajar la
guardia en ningún momento.

Slds...
ICQ: 117844560 milon. Miembro del grupo A.H.E.
Linux User: #206958 milon AT hackindex DOT com
milon AT hackindex DOT org PGP Key: 0xFD913988 0xD522C952

Respuesta Responder a este mensaje
#4 Anonimo
07/05/2004 - 15:56 | Informe spam
Sigues sin comprender que no es lo mismo nuestro pc que un
sistema informático de una empresa y mucho menos el de un
banco o los de la administración pública.

Leelo despacio haber si asi lo entiendes.

Esta diferencia es evidente en varios aspectos. No es lo
mismo una parada en nuestro pc que en esos sistemas. No es
lo mismo una perdida de datos en nuestro pc que en esos
sistemas. No es lo mismo una intrusión en nuestro pc que en
esos sistemas.







YUo sigo aconsejando el formateo por un simple motivo. El


posible rootkit: aara un tecnico en informatica puede ser
mas o menos costos quitarlo dependiendo con que tecnicas
esté realizado (por suepuesto ninguna herramienta en este
caso te lo va a quitar). Pero para un usuario final es algo
imposible de hacer.

Miralo bajo el prisma que yo lo miro: yo uso mucho la


banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.
Por tanto, no puedo arriesgarme a que en cualquier


momento... dicha informacion salga de mi maquina. Y si me
meten un rottkit bien diseñado, por mucho que use el
parche, me limpie con las herramientas de limpieza de las
casas de antivirus, etc. esa informacion saldrá.

Ahora te pregunto tambien: en el hipotetico caso que el


ministerior del interior, hacienda, etc. fuese
infectado, tu como usuario y para integridad de tus datos
no les EXIGIRIAS que formateasen sus maquinas?

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and


confers no rights.
You assume all risk for your use.




"fermu" wrote in message


news:e%
Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un




gusano que para
propagarse a otros equipos, aprovecha la vulnerabilidad




en el proceso
LSASS (Local Security Authority Subsystem). Sólo afecta




a equipos
Windows 2000/XP y Windows Server 2003 sin actualizar.




El virus sasser
actuará de scanner en el equipo afectado para detectar




la posibilidad
de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso




tráfico de salida
provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de




reinicio podría
desaparecer en cuanto su código se perfeccione, con lo




cual el único
síntoma que nos quedaría sería el tráfico en los puertos




antes citados,
los pasos para desinfectarlos, recomendados por las




diferentes casas de
antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del




directorio de Windows
y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución




del regedit (
Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición,




Buscar: avserve)
y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la




herramienta de
Restaurar Sistema ( Menú Inicio, Panel de Control,




Sistema, Lengueta:
Restaurar sistema, marcar la casilla: Deshabilitar




Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP




o 2003 puede
recurrirse al Firewall propio. ( Menú Inicio, Panel de




Control,
Conexiones de Red, Propiedades de la conexión principal,




Lengueta:
Avanzadas, marcar la casilla: Proteger mi equipo y mi




red limitando o
impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual




que el blaster, es
una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente




rootkit. En este
punto, y dada la importancia que tiene la instalación de




un rootkit,
cabe definir que es exactamente esta herramienta. Con




este nombre
definimos básicamente una herramienta de ocultación de




servicios,
conexiones, etc, etc... Un rootkit suele ir ligado a un




troyano, es
decir, el troyano es la herramienta para manejar el




sistema y el rootkit
la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano,




siempre que contemos
con los servicios de un antivirus actualizado no es




sencilla, ya que la
mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no




contamos con las
herramientas básicas de seguridad en un sistema, es




decir, firewall,
antivirus y sistema parcheado y actualizado, la pregunta




que cabe
hacernos es: ¿Podemos recuperar nuestro sistema sin




formateo?, ¿si
formateamos nuestra máquina estará segura?. Estás son




preguntas
controvertidas, al respecto cabe decir, que ni Microsoft




ni ninguna casa
de antivirus, recomienda el formateo como medio para




recuperar un
sistema. Yo no soy partidario de esta solución ya que,




lo veo demasiado
drástico, pero... hay que tener en cuenta nuestra




situación mi postura
es que cualquier sistema es recuperable, sin necesidad




de formateo.
Poniéndonos de cara a un usuario doméstico, cabe decir




que quizas la
solución no sea del todo desacertada. Pero, creo, que




habría que mirar
el caso específico de cada usuario. Una vez infectados




por el sasser,
debemos valorar si la recuperación del sistema es más




rentable (en
cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no




aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes




parches.


Como conclusión, resaltar que no es aconsejable en




absoluto recomendar
el formateo como norma general y recordar que la casa de




Antivirus Panda
ha desarrollado una herramienta para desinfectar el PC y




recuperarlo a
su estado anterior. Esta solución, sin ser tan drástica




como el formateo
podría servir para solventar el problema que se plantea




con la infección
de tan peligroso virus, la valoración, como norma




general la debería
hacer el usuario, sin imposiciones, cada caso puede ser




un mundo, por lo
que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos


.

Respuesta Responder a este mensaje
#5 JM Tella Llop [MVP Windows]
07/05/2004 - 16:00 | Informe spam
Repito por ultima vez:

Miralo bajo el prisma que yo lo miro: yo uso mucho la banca on-line. Realizo muchas transacciones comerciales con mi maquina. Uso mucho las tarjetas de credito para compras online. Tengo informacion confidencial (o importante) de mi trabajo en mi maquina.
Por tanto, no puedo arriesgarme a que en cualquier momento.

Ahora bien tu haz lo que quieras.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




wrote in message news:9dbb01c4343b$151ca490$
Sigues sin comprender que no es lo mismo nuestro pc que un
sistema informático de una empresa y mucho menos el de un
banco o los de la administración pública.

Leelo despacio haber si asi lo entiendes.

Esta diferencia es evidente en varios aspectos. No es lo
mismo una parada en nuestro pc que en esos sistemas. No es
lo mismo una perdida de datos en nuestro pc que en esos
sistemas. No es lo mismo una intrusión en nuestro pc que en
esos sistemas.







YUo sigo aconsejando el formateo por un simple motivo. El


posible rootkit: aara un tecnico en informatica puede ser
mas o menos costos quitarlo dependiendo con que tecnicas
esté realizado (por suepuesto ninguna herramienta en este
caso te lo va a quitar). Pero para un usuario final es algo
imposible de hacer.

Miralo bajo el prisma que yo lo miro: yo uso mucho la


banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.
Por tanto, no puedo arriesgarme a que en cualquier


momento... dicha informacion salga de mi maquina. Y si me
meten un rottkit bien diseñado, por mucho que use el
parche, me limpie con las herramientas de limpieza de las
casas de antivirus, etc. esa informacion saldrá.

Ahora te pregunto tambien: en el hipotetico caso que el


ministerior del interior, hacienda, etc. fuese
infectado, tu como usuario y para integridad de tus datos
no les EXIGIRIAS que formateasen sus maquinas?

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de


ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and


confers no rights.
You assume all risk for your use.




"fermu" wrote in message


news:e%
Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un




gusano que para
propagarse a otros equipos, aprovecha la vulnerabilidad




en el proceso
LSASS (Local Security Authority Subsystem). Sólo afecta




a equipos
Windows 2000/XP y Windows Server 2003 sin actualizar.




El virus sasser
actuará de scanner en el equipo afectado para detectar




la posibilidad
de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso




tráfico de salida
provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de




reinicio podría
desaparecer en cuanto su código se perfeccione, con lo




cual el único
síntoma que nos quedaría sería el tráfico en los puertos




antes citados,
los pasos para desinfectarlos, recomendados por las




diferentes casas de
antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del




directorio de Windows
y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución




del regedit (
Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición,




Buscar: avserve)
y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la




herramienta de
Restaurar Sistema ( Menú Inicio, Panel de Control,




Sistema, Lengueta:
Restaurar sistema, marcar la casilla: Deshabilitar




Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP




o 2003 puede
recurrirse al Firewall propio. ( Menú Inicio, Panel de




Control,
Conexiones de Red, Propiedades de la conexión principal,




Lengueta:
Avanzadas, marcar la casilla: Proteger mi equipo y mi




red limitando o
impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual




que el blaster, es
una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente




rootkit. En este
punto, y dada la importancia que tiene la instalación de




un rootkit,
cabe definir que es exactamente esta herramienta. Con




este nombre
definimos básicamente una herramienta de ocultación de




servicios,
conexiones, etc, etc... Un rootkit suele ir ligado a un




troyano, es
decir, el troyano es la herramienta para manejar el




sistema y el rootkit
la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano,




siempre que contemos
con los servicios de un antivirus actualizado no es




sencilla, ya que la
mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no




contamos con las
herramientas básicas de seguridad en un sistema, es




decir, firewall,
antivirus y sistema parcheado y actualizado, la pregunta




que cabe
hacernos es: ¿Podemos recuperar nuestro sistema sin




formateo?, ¿si
formateamos nuestra máquina estará segura?. Estás son




preguntas
controvertidas, al respecto cabe decir, que ni Microsoft




ni ninguna casa
de antivirus, recomienda el formateo como medio para




recuperar un
sistema. Yo no soy partidario de esta solución ya que,




lo veo demasiado
drástico, pero... hay que tener en cuenta nuestra




situación mi postura
es que cualquier sistema es recuperable, sin necesidad




de formateo.
Poniéndonos de cara a un usuario doméstico, cabe decir




que quizas la
solución no sea del todo desacertada. Pero, creo, que




habría que mirar
el caso específico de cada usuario. Una vez infectados




por el sasser,
debemos valorar si la recuperación del sistema es más




rentable (en
cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no




aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes




parches.


Como conclusión, resaltar que no es aconsejable en




absoluto recomendar
el formateo como norma general y recordar que la casa de




Antivirus Panda
ha desarrollado una herramienta para desinfectar el PC y




recuperarlo a
su estado anterior. Esta solución, sin ser tan drástica




como el formateo
podría servir para solventar el problema que se plantea




con la infección
de tan peligroso virus, la valoración, como norma




general la debería
hacer el usuario, sin imposiciones, cada caso puede ser




un mundo, por lo
que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos


.

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida