[Seguridad] Virus sasser consideraciones

Hash: SHA1

JM Tella Llop [MVP Windows] escribió:
| Repito por ultima vez:
|
| Miralo bajo el prisma que yo lo miro: yo uso mucho la banca on-line.
Realizo muchas transacciones comerciales con mi maquina. Uso mucho las
tarjetas de credito para compras online. Tengo informacion confidencial
(o importante) de mi trabajo en mi maquina.
| Por tanto, no puedo arriesgarme a que en cualquier momento.
|
| Ahora bien tu haz lo que quieras.
|
|

Estimado Tella:

Para mi siempre es un placer debatir contigo puesto que te considero una
persona que indublemente tiene bastantes conocimientos en informática.
Ahora bien, en primer lugar, yo jamás posteo como anónimo, de hecho está
ip (desde la que escribo) es fija y habitualmente no me escondó nunca
para rebatir.

Aclarado este punto, creo que es necesario recalcar que yo no rechazo la
posibilidad de realizar un formateo para solventar una posible
infección, de hecho la he recomendado en algún hilo que otro.

Es evidente, que un volumen de transacciones por banca electrónica hacen
especialmente sensible un ordenador, no ya infectado con el virus
sasser, sino con un troyano-rootkit, la solución indublemente, no sólo
es formatear, también tendrías que cambiar todas las claves de tu banco.
~ Pero, en ello, creo que me das la razón, cada caso puede ser un mundo

Empresarialmente, no me cabe en la cabeza, como, Por ejemplo, la
audiencia nacional se halla visto infectada por este virus. Está claro
que la solución no es formatear, es concienciar al usuario en conceptos
de seguridad informática. Además, a nivel empresarial, se hace
aconsejable un Sistema de Detección de Intrusiones en toda regla, que
garantize la integridad de NUESTROS datos, porque hay que recordar que
los organismos oficiales tienen datos sensibles de muchos ciudadanos.

La solución, el formateo no lo es, es la reeducación, manejar un
ordenador, no es manejar un microondas.

Saludos,

Fernando M.

Repito por ultima vez:

Miralo bajo el prisma que yo lo miro: yo uso mucho la

Por tanto, no puedo arriesgarme a que en cualquier

Ahora bien tu haz lo que quieras.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

This posting is provided "AS IS" with no warranties, and

You assume all risk for your use.




wrote in message

Sigues sin comprender que no es lo mismo nuestro pc que un
sistema informático de una empresa y mucho menos el de un
banco o los de la administración pública.

Leelo despacio haber si asi lo entiendes.

Esta diferencia es evidente en varios aspectos. No es lo
mismo una parada en nuestro pc que en esos sistemas. No es
lo mismo una perdida de datos en nuestro pc que en esos
sistemas. No es lo mismo una intrusión en nuestro pc que en
esos sistemas.

YUo sigo aconsejando el formateo por un simple motivo. El

posible rootkit: aara un tecnico en informatica puede ser
mas o menos costos quitarlo dependiendo con que tecnicas
esté realizado (por suepuesto ninguna herramienta en este
caso te lo va a quitar). Pero para un usuario final es algo
imposible de hacer.

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento... dicha informacion salga de mi maquina. Y si me
meten un rottkit bien diseñado, por mucho que use el
parche, me limpie con las herramientas de limpieza de las
casas de antivirus, etc. esa informacion saldrá.

Ahora te pregunto tambien: en el hipotetico caso que el

ministerior del interior, hacienda, etc. fuese
infectado, tu como usuario y para integridad de tus datos
no les EXIGIRIAS que formateasen sus maquinas?

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




"fermu" wrote in message

news:e%

Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un

gusano que para

propagarse a otros equipos, aprovecha la vulnerabilidad

en el proceso

LSASS (Local Security Authority Subsystem). Sólo afecta

a equipos

Windows 2000/XP y Windows Server 2003 sin actualizar.

El virus sasser

actuará de scanner en el equipo afectado para detectar

la posibilidad

de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso

tráfico de salida

provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de

reinicio podría

desaparecer en cuanto su código se perfeccione, con lo

cual el único

síntoma que nos quedaría sería el tráfico en los puertos

antes citados,

los pasos para desinfectarlos, recomendados por las

diferentes casas de

antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del

directorio de Windows

y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución

del regedit (

Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición,

Buscar: avserve)

y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la

herramienta de

Restaurar Sistema ( Menú Inicio, Panel de Control,

Sistema, Lengueta:

Restaurar sistema, marcar la casilla: Deshabilitar

Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP

o 2003 puede

recurrirse al Firewall propio. ( Menú Inicio, Panel de

Control,

Conexiones de Red, Propiedades de la conexión principal,

Lengueta:

Avanzadas, marcar la casilla: Proteger mi equipo y mi

red limitando o

impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual

que el blaster, es

una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente

rootkit. En este

punto, y dada la importancia que tiene la instalación de

un rootkit,

cabe definir que es exactamente esta herramienta. Con

este nombre

definimos básicamente una herramienta de ocultación de

servicios,

conexiones, etc, etc... Un rootkit suele ir ligado a un

troyano, es

decir, el troyano es la herramienta para manejar el

sistema y el rootkit

la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano,

siempre que contemos

con los servicios de un antivirus actualizado no es

sencilla, ya que la

mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no

contamos con las

herramientas básicas de seguridad en un sistema, es

decir, firewall,

antivirus y sistema parcheado y actualizado, la pregunta

que cabe

hacernos es: ¿Podemos recuperar nuestro sistema sin

formateo?, ¿si

formateamos nuestra máquina estará segura?. Estás son

preguntas

controvertidas, al respecto cabe decir, que ni Microsoft

ni ninguna casa

de antivirus, recomienda el formateo como medio para

recuperar un

sistema. Yo no soy partidario de esta solución ya que,

lo veo demasiado

drástico, pero... hay que tener en cuenta nuestra

situación mi postura

es que cualquier sistema es recuperable, sin necesidad

de formateo.

Poniéndonos de cara a un usuario doméstico, cabe decir

que quizas la

solución no sea del todo desacertada. Pero, creo, que

habría que mirar

el caso específico de cada usuario. Una vez infectados

por el sasser,

debemos valorar si la recuperación del sistema es más

rentable (en

cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no

aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes

parches.

Como conclusión, resaltar que no es aconsejable en

absoluto recomendar

el formateo como norma general y recordar que la casa de

Antivirus Panda

ha desarrollado una herramienta para desinfectar el PC y

recuperarlo a

su estado anterior. Esta solución, sin ser tan drástica

como el formateo

podría servir para solventar el problema que se plantea

con la infección

de tan peligroso virus, la valoración, como norma

general la debería

hacer el usuario, sin imposiciones, cada caso puede ser

un mundo, por lo

que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos

.

.

Repito por ultima vez:

Miralo bajo el prisma que yo lo miro: yo uso mucho la

Por tanto, no puedo arriesgarme a que en cualquier

Ahora bien tu haz lo que quieras.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

This posting is provided "AS IS" with no warranties, and

You assume all risk for your use.




wrote in message

Sigues sin comprender que no es lo mismo nuestro pc que un
sistema informático de una empresa y mucho menos el de un
banco o los de la administración pública.

Leelo despacio haber si asi lo entiendes.

Esta diferencia es evidente en varios aspectos. No es lo
mismo una parada en nuestro pc que en esos sistemas. No es
lo mismo una perdida de datos en nuestro pc que en esos
sistemas. No es lo mismo una intrusión en nuestro pc que en
esos sistemas.

YUo sigo aconsejando el formateo por un simple motivo. El

posible rootkit: aara un tecnico en informatica puede ser
mas o menos costos quitarlo dependiendo con que tecnicas
esté realizado (por suepuesto ninguna herramienta en este
caso te lo va a quitar). Pero para un usuario final es algo
imposible de hacer.

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento... dicha informacion salga de mi maquina. Y si me
meten un rottkit bien diseñado, por mucho que use el
parche, me limpie con las herramientas de limpieza de las
casas de antivirus, etc. esa informacion saldrá.

Ahora te pregunto tambien: en el hipotetico caso que el

ministerior del interior, hacienda, etc. fuese
infectado, tu como usuario y para integridad de tus datos
no les EXIGIRIAS que formateasen sus maquinas?

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




"fermu" wrote in message

news:e%

Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un

gusano que para

propagarse a otros equipos, aprovecha la vulnerabilidad

en el proceso

LSASS (Local Security Authority Subsystem). Sólo afecta

a equipos

Windows 2000/XP y Windows Server 2003 sin actualizar.

El virus sasser

actuará de scanner en el equipo afectado para detectar

la posibilidad

de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso

tráfico de salida

provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de

reinicio podría

desaparecer en cuanto su código se perfeccione, con lo

cual el único

síntoma que nos quedaría sería el tráfico en los puertos

antes citados,

los pasos para desinfectarlos, recomendados por las

diferentes casas de

antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del

directorio de Windows

y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución

del regedit (

Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición,

Buscar: avserve)

y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la

herramienta de

Restaurar Sistema ( Menú Inicio, Panel de Control,

Sistema, Lengueta:

Restaurar sistema, marcar la casilla: Deshabilitar

Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP

o 2003 puede

recurrirse al Firewall propio. ( Menú Inicio, Panel de

Control,

Conexiones de Red, Propiedades de la conexión principal,

Lengueta:

Avanzadas, marcar la casilla: Proteger mi equipo y mi

red limitando o

impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual

que el blaster, es

una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente

rootkit. En este

punto, y dada la importancia que tiene la instalación de

un rootkit,

cabe definir que es exactamente esta herramienta. Con

este nombre

definimos básicamente una herramienta de ocultación de

servicios,

conexiones, etc, etc... Un rootkit suele ir ligado a un

troyano, es

decir, el troyano es la herramienta para manejar el

sistema y el rootkit

la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano,

siempre que contemos

con los servicios de un antivirus actualizado no es

sencilla, ya que la

mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no

contamos con las

herramientas básicas de seguridad en un sistema, es

decir, firewall,

antivirus y sistema parcheado y actualizado, la pregunta

que cabe

hacernos es: ¿Podemos recuperar nuestro sistema sin

formateo?, ¿si

formateamos nuestra máquina estará segura?. Estás son

preguntas

controvertidas, al respecto cabe decir, que ni Microsoft

ni ninguna casa

de antivirus, recomienda el formateo como medio para

recuperar un

sistema. Yo no soy partidario de esta solución ya que,

lo veo demasiado

drástico, pero... hay que tener en cuenta nuestra

situación mi postura

es que cualquier sistema es recuperable, sin necesidad

de formateo.

Poniéndonos de cara a un usuario doméstico, cabe decir

que quizas la

solución no sea del todo desacertada. Pero, creo, que

habría que mirar

el caso específico de cada usuario. Una vez infectados

por el sasser,

debemos valorar si la recuperación del sistema es más

rentable (en

cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no

aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes

parches.

Como conclusión, resaltar que no es aconsejable en

absoluto recomendar

el formateo como norma general y recordar que la casa de

Antivirus Panda

ha desarrollado una herramienta para desinfectar el PC y

recuperarlo a

su estado anterior. Esta solución, sin ser tan drástica

como el formateo

podría servir para solventar el problema que se plantea

con la infección

de tan peligroso virus, la valoración, como norma

general la debería

hacer el usuario, sin imposiciones, cada caso puede ser

un mundo, por lo

que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos

.

.