[Seguridad] Virus sasser consideraciones

Partiendo de cada uno puede hacer lo que le venga en gana con su equipo y cada cual con lo suyo después de estar advertido y sabiendo elriesgo que puede correr:

El tema de tarejtas no es necesario en banca on-line desde casa, puesto que tú para hacer operaciones vía internet no necesitas de una tarjeta para conectarte generalmente. La operativa es tan básica como conectar vía HTTPS y ofrecer un juego de claves y presentar el certificado digital correspondiente a validar. Es precisamente en entorno empresarial donde sí se suele hacer uso de tarjetas para iniciar sesión en los equipos y acceder por tanto a ellos

La información confidencial la puedes tener como bien dices de ese modo, que es lo más seguro, por supuesto, pero como es lo normal , la gente lo tiene en el PC de su casa...y para eso existe un mecanismo de encriptación que es EFS, el cual si alguien consigue robarte tu certificado o el del agente de recuperación te va a dar lo mismo puesto que podrá acceder a dicha información confidencial.

Lo de comunicar las cosas al banco me parece perfecto, ahora, cuéntaselo a la persona afectada a ver qué le parece el pasar por toda la burocracia que hay de por medio. Y ahora dile qué se ppodrí haber evitado siguiendo ciertas pautas...y a ver cuál prefiere

Y si ya entonces nos vamos a servidores de una empresa la cosa puede cambiar y bastante.


que el mensaje es muy claro; hay que tener en mente que el formateo puede ser necesario, pero ya cada cual que apechugue con lo suyo...total, no voy a ser yo el que pierda nada :-)


Salu2!!!

Javier Inglés, MS-MVP
http://mvp.support.microsoft.com/default.aspx

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


escribió en el mensaje news:9e3f01c43441$fc3d9770$
Por partes, como diría Jack el Destripador:

Respecto a la banca on-line. Suelen utilizar no sólo
códigos de acceso y contraseña para acceder, sino también
claves de confirmación para las operaciones y estas claves
están en una tarjeta que evidentemente ningun software
puede leer. Además en caso de una operación anómala, el
propio banco se tomaría mucho interés en el asunto.

Respecto a las tarjetas de crédito. En caso de operaciones
no presenciales (es el caso de las operaciones por
internet) con tarjeta de crédito, la carga de la prueba la
tiene el vendedor. Por lo tanto, cuando si te llega un
cargo indebido, es suficiente con comunicarlo al banco.

Respecto a la información confidencial. Si realmente es
importante, no la tengas en un equipo. Debe tenerse en
soporte informatico, cifrada y en caja fuerte; y utilizarla
en un equipo no conectado a internet. Evidentemente en la
confidencialidad también hay grados y puedes ir rebajando
medidas.

En lo último coincido. Cada uno que haga lo que crea
oportuno, pero... cuando se aconseja se debe aconsejar
objetivamente, NO MIRANDO CON TU PRISMA.

Repito por ultima vez:

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento.

Ahora bien tu haz lo que quieras.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




wrote in message

news:9dbb01c4343b$151ca490$

Sigues sin comprender que no es lo mismo nuestro pc que un
sistema informático de una empresa y mucho menos el de un
banco o los de la administración pública.

Leelo despacio haber si asi lo entiendes.

Esta diferencia es evidente en varios aspectos. No es lo
mismo una parada en nuestro pc que en esos sistemas. No es
lo mismo una perdida de datos en nuestro pc que en esos
sistemas. No es lo mismo una intrusión en nuestro pc que en
esos sistemas.

YUo sigo aconsejando el formateo por un simple motivo. El

posible rootkit: aara un tecnico en informatica puede ser
mas o menos costos quitarlo dependiendo con que tecnicas
esté realizado (por suepuesto ninguna herramienta en este
caso te lo va a quitar). Pero para un usuario final es algo
imposible de hacer.

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento... dicha informacion salga de mi maquina. Y si me
meten un rottkit bien diseñado, por mucho que use el
parche, me limpie con las herramientas de limpieza de las
casas de antivirus, etc. esa informacion saldrá.

Ahora te pregunto tambien: en el hipotetico caso que el

ministerior del interior, hacienda, etc. fuese
infectado, tu como usuario y para integridad de tus datos
no les EXIGIRIAS que formateasen sus maquinas?

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




"fermu" wrote in message

news:e%

Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un

gusano que para

propagarse a otros equipos, aprovecha la vulnerabilidad

en el proceso

LSASS (Local Security Authority Subsystem). Sólo afecta

a equipos

Windows 2000/XP y Windows Server 2003 sin actualizar.

El virus sasser

actuará de scanner en el equipo afectado para detectar

la posibilidad

de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso

tráfico de salida

provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de

reinicio podría

desaparecer en cuanto su código se perfeccione, con lo

cual el único

síntoma que nos quedaría sería el tráfico en los puertos

antes citados,

los pasos para desinfectarlos, recomendados por las

diferentes casas de

antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del

directorio de Windows

y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución

del regedit (

Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición,

Buscar: avserve)

y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la

herramienta de

Restaurar Sistema ( Menú Inicio, Panel de Control,

Sistema, Lengueta:

Restaurar sistema, marcar la casilla: Deshabilitar

Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP

o 2003 puede

recurrirse al Firewall propio. ( Menú Inicio, Panel de

Control,

Conexiones de Red, Propiedades de la conexión principal,

Lengueta:

Avanzadas, marcar la casilla: Proteger mi equipo y mi

red limitando o

impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual

que el blaster, es

una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente

rootkit. En este

punto, y dada la importancia que tiene la instalación de

un rootkit,

cabe definir que es exactamente esta herramienta. Con

este nombre

definimos básicamente una herramienta de ocultación de

servicios,

conexiones, etc, etc... Un rootkit suele ir ligado a un

troyano, es

decir, el troyano es la herramienta para manejar el

sistema y el rootkit

la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano,

siempre que contemos

con los servicios de un antivirus actualizado no es

sencilla, ya que la

mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no

contamos con las

herramientas básicas de seguridad en un sistema, es

decir, firewall,

antivirus y sistema parcheado y actualizado, la pregunta

que cabe

hacernos es: ¿Podemos recuperar nuestro sistema sin

formateo?, ¿si

formateamos nuestra máquina estará segura?. Estás son

preguntas

controvertidas, al respecto cabe decir, que ni Microsoft

ni ninguna casa

de antivirus, recomienda el formateo como medio para

recuperar un

sistema. Yo no soy partidario de esta solución ya que,

lo veo demasiado

drástico, pero... hay que tener en cuenta nuestra

situación mi postura

es que cualquier sistema es recuperable, sin necesidad

de formateo.

Poniéndonos de cara a un usuario doméstico, cabe decir

que quizas la

solución no sea del todo desacertada. Pero, creo, que

habría que mirar

el caso específico de cada usuario. Una vez infectados

por el sasser,

debemos valorar si la recuperación del sistema es más

rentable (en

cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no

aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes

parches.

Como conclusión, resaltar que no es aconsejable en

absoluto recomendar

el formateo como norma general y recordar que la casa de

Antivirus Panda

ha desarrollado una herramienta para desinfectar el PC y

recuperarlo a

su estado anterior. Esta solución, sin ser tan drástica

como el formateo

podría servir para solventar el problema que se plantea

con la infección

de tan peligroso virus, la valoración, como norma

general la debería

hacer el usuario, sin imposiciones, cada caso puede ser

un mundo, por lo

que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos

.

.

Da igual lo que le digas. Es totalmente "ilogico" ese elemento: precisamente lo contrario a cualquier informatico.

:-)

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Javier Inglés [MS MVP]" wrote in message news:e%
Partiendo de cada uno puede hacer lo que le venga en gana con su equipo y cada cual con lo suyo después de estar advertido y sabiendo elriesgo que puede correr:

El tema de tarejtas no es necesario en banca on-line desde casa, puesto que tú para hacer operaciones vía internet no necesitas de una tarjeta para conectarte generalmente. La operativa es tan básica como conectar vía HTTPS y ofrecer un juego de claves y presentar el certificado digital correspondiente a validar. Es precisamente en entorno empresarial donde sí se suele hacer uso de tarjetas para iniciar sesión en los equipos y acceder por tanto a ellos

La información confidencial la puedes tener como bien dices de ese modo, que es lo más seguro, por supuesto, pero como es lo normal , la gente lo tiene en el PC de su casa...y para eso existe un mecanismo de encriptación que es EFS, el cual si alguien consigue robarte tu certificado o el del agente de recuperación te va a dar lo mismo puesto que podrá acceder a dicha información confidencial.

Lo de comunicar las cosas al banco me parece perfecto, ahora, cuéntaselo a la persona afectada a ver qué le parece el pasar por toda la burocracia que hay de por medio. Y ahora dile qué se ppodrí haber evitado siguiendo ciertas pautas...y a ver cuál prefiere

Y si ya entonces nos vamos a servidores de una empresa la cosa puede cambiar y bastante.


que el mensaje es muy claro; hay que tener en mente que el formateo puede ser necesario, pero ya cada cual que apechugue con lo suyo...total, no voy a ser yo el que pierda nada :-)


Salu2!!!

Javier Inglés, MS-MVP
http://mvp.support.microsoft.com/default.aspx

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


escribió en el mensaje news:9e3f01c43441$fc3d9770$
Por partes, como diría Jack el Destripador:

Respecto a la banca on-line. Suelen utilizar no sólo
códigos de acceso y contraseña para acceder, sino también
claves de confirmación para las operaciones y estas claves
están en una tarjeta que evidentemente ningun software
puede leer. Además en caso de una operación anómala, el
propio banco se tomaría mucho interés en el asunto.

Respecto a las tarjetas de crédito. En caso de operaciones
no presenciales (es el caso de las operaciones por
internet) con tarjeta de crédito, la carga de la prueba la
tiene el vendedor. Por lo tanto, cuando si te llega un
cargo indebido, es suficiente con comunicarlo al banco.

Respecto a la información confidencial. Si realmente es
importante, no la tengas en un equipo. Debe tenerse en
soporte informatico, cifrada y en caja fuerte; y utilizarla
en un equipo no conectado a internet. Evidentemente en la
confidencialidad también hay grados y puedes ir rebajando
medidas.

En lo último coincido. Cada uno que haga lo que crea
oportuno, pero... cuando se aconseja se debe aconsejar
objetivamente, NO MIRANDO CON TU PRISMA.

Repito por ultima vez:

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento.

Ahora bien tu haz lo que quieras.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




wrote in message

news:9dbb01c4343b$151ca490$

Sigues sin comprender que no es lo mismo nuestro pc que un
sistema informático de una empresa y mucho menos el de un
banco o los de la administración pública.

Leelo despacio haber si asi lo entiendes.

Esta diferencia es evidente en varios aspectos. No es lo
mismo una parada en nuestro pc que en esos sistemas. No es
lo mismo una perdida de datos en nuestro pc que en esos
sistemas. No es lo mismo una intrusión en nuestro pc que en
esos sistemas.

YUo sigo aconsejando el formateo por un simple motivo. El

posible rootkit: aara un tecnico en informatica puede ser
mas o menos costos quitarlo dependiendo con que tecnicas
esté realizado (por suepuesto ninguna herramienta en este
caso te lo va a quitar). Pero para un usuario final es algo
imposible de hacer.

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento... dicha informacion salga de mi maquina. Y si me
meten un rottkit bien diseñado, por mucho que use el
parche, me limpie con las herramientas de limpieza de las
casas de antivirus, etc. esa informacion saldrá.

Ahora te pregunto tambien: en el hipotetico caso que el

ministerior del interior, hacienda, etc. fuese
infectado, tu como usuario y para integridad de tus datos
no les EXIGIRIAS que formateasen sus maquinas?

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




"fermu" wrote in message

news:e%

Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un

gusano que para

propagarse a otros equipos, aprovecha la vulnerabilidad

en el proceso

LSASS (Local Security Authority Subsystem). Sólo afecta

a equipos

Windows 2000/XP y Windows Server 2003 sin actualizar.

El virus sasser

actuará de scanner en el equipo afectado para detectar

la posibilidad

de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso

tráfico de salida

provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de

reinicio podría

desaparecer en cuanto su código se perfeccione, con lo

cual el único

síntoma que nos quedaría sería el tráfico en los puertos

antes citados,

los pasos para desinfectarlos, recomendados por las

diferentes casas de

antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del

directorio de Windows

y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución

del regedit (

Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición,

Buscar: avserve)

y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la

herramienta de

Restaurar Sistema ( Menú Inicio, Panel de Control,

Sistema, Lengueta:

Restaurar sistema, marcar la casilla: Deshabilitar

Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP

o 2003 puede

recurrirse al Firewall propio. ( Menú Inicio, Panel de

Control,

Conexiones de Red, Propiedades de la conexión principal,

Lengueta:

Avanzadas, marcar la casilla: Proteger mi equipo y mi

red limitando o

impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual

que el blaster, es

una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente

rootkit. En este

punto, y dada la importancia que tiene la instalación de

un rootkit,

cabe definir que es exactamente esta herramienta. Con

este nombre

definimos básicamente una herramienta de ocultación de

servicios,

conexiones, etc, etc... Un rootkit suele ir ligado a un

troyano, es

decir, el troyano es la herramienta para manejar el

sistema y el rootkit

la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano,

siempre que contemos

con los servicios de un antivirus actualizado no es

sencilla, ya que la

mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no

contamos con las

herramientas básicas de seguridad en un sistema, es

decir, firewall,

antivirus y sistema parcheado y actualizado, la pregunta

que cabe

hacernos es: ¿Podemos recuperar nuestro sistema sin

formateo?, ¿si

formateamos nuestra máquina estará segura?. Estás son

preguntas

controvertidas, al respecto cabe decir, que ni Microsoft

ni ninguna casa

de antivirus, recomienda el formateo como medio para

recuperar un

sistema. Yo no soy partidario de esta solución ya que,

lo veo demasiado

drástico, pero... hay que tener en cuenta nuestra

situación mi postura

es que cualquier sistema es recuperable, sin necesidad

de formateo.

Poniéndonos de cara a un usuario doméstico, cabe decir

que quizas la

solución no sea del todo desacertada. Pero, creo, que

habría que mirar

el caso específico de cada usuario. Una vez infectados

por el sasser,

debemos valorar si la recuperación del sistema es más

rentable (en

cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no

aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes

parches.

Como conclusión, resaltar que no es aconsejable en

absoluto recomendar

el formateo como norma general y recordar que la casa de

Antivirus Panda

ha desarrollado una herramienta para desinfectar el PC y

recuperarlo a

su estado anterior. Esta solución, sin ser tan drástica

como el formateo

podría servir para solventar el problema que se plantea

con la infección

de tan peligroso virus, la valoración, como norma

general la debería

hacer el usuario, sin imposiciones, cada caso puede ser

un mundo, por lo

que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos

.

.

Yo he razonado las respuestas.
Tu te basas en SENSACIONES, manías y dogmas. Nada científico.
¿tienes algún argumento para continuar?

diselo al resto de usuarios que son como tu :-)

de verdad.. pecas de una prepotencia que te faltan

conocimientos para poder presumir de ella. jeje...:-))))

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




wrote in message

news:9e3f01c43441$fc3d9770$

Por partes, como diría Jack el Destripador:

Respecto a la banca on-line. Suelen utilizar no sólo
códigos de acceso y contraseña para acceder, sino también
claves de confirmación para las operaciones y estas claves
están en una tarjeta que evidentemente ningun software
puede leer. Además en caso de una operación anómala, el
propio banco se tomaría mucho interés en el asunto.

Respecto a las tarjetas de crédito. En caso de operaciones
no presenciales (es el caso de las operaciones por
internet) con tarjeta de crédito, la carga de la prueba la
tiene el vendedor. Por lo tanto, cuando si te llega un
cargo indebido, es suficiente con comunicarlo al banco.

Respecto a la información confidencial. Si realmente es
importante, no la tengas en un equipo. Debe tenerse en
soporte informatico, cifrada y en caja fuerte; y utilizarla
en un equipo no conectado a internet. Evidentemente en la
confidencialidad también hay grados y puedes ir rebajando
medidas.

En lo último coincido. Cada uno que haga lo que crea
oportuno, pero... cuando se aconseja se debe aconsejar
objetivamente, NO MIRANDO CON TU PRISMA.

Repito por ultima vez:

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento.

Ahora bien tu haz lo que quieras.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




wrote in message

news:9dbb01c4343b$151ca490$

Sigues sin comprender que no es lo mismo nuestro pc que un
sistema informático de una empresa y mucho menos el de un
banco o los de la administración pública.

Leelo despacio haber si asi lo entiendes.

Esta diferencia es evidente en varios aspectos. No es lo
mismo una parada en nuestro pc que en esos sistemas. No es
lo mismo una perdida de datos en nuestro pc que en esos
sistemas. No es lo mismo una intrusión en nuestro pc que en
esos sistemas.

YUo sigo aconsejando el formateo por un simple motivo. El

posible rootkit: aara un tecnico en informatica puede ser
mas o menos costos quitarlo dependiendo con que tecnicas
esté realizado (por suepuesto ninguna herramienta en este
caso te lo va a quitar). Pero para un usuario final es algo
imposible de hacer.

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento... dicha informacion salga de mi maquina. Y si me
meten un rottkit bien diseñado, por mucho que use el
parche, me limpie con las herramientas de limpieza de las
casas de antivirus, etc. esa informacion saldrá.

Ahora te pregunto tambien: en el hipotetico caso que el

ministerior del interior, hacienda, etc. fuese
infectado, tu como usuario y para integridad de tus datos
no les EXIGIRIAS que formateasen sus maquinas?

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




"fermu" wrote in message

news:e%

Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un

gusano que para

propagarse a otros equipos, aprovecha la vulnerabilidad

en el proceso

LSASS (Local Security Authority Subsystem). Sólo afecta

a equipos

Windows 2000/XP y Windows Server 2003 sin actualizar.

El virus sasser

actuará de scanner en el equipo afectado para detectar

la posibilidad

de infectar a otro equipos que no tengan cubierta la

citada

vulnerabilidad con lo cual detectaremos un intenso

tráfico de salida

provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de

reinicio podría

desaparecer en cuanto su código se perfeccione, con lo

cual el único

síntoma que nos quedaría sería el tráfico en los puertos

antes citados,

los pasos para desinfectarlos, recomendados por las

diferentes casas de

antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del

directorio de Windows

y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución

del regedit (

Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición,

Buscar: avserve)

y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la

herramienta de

Restaurar Sistema ( Menú Inicio, Panel de Control,

Sistema, Lengueta:

Restaurar sistema, marcar la casilla: Deshabilitar

Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP

o 2003 puede

recurrirse al Firewall propio. ( Menú Inicio, Panel de

Control,

Conexiones de Red, Propiedades de la conexión principal,

Lengueta:

Avanzadas, marcar la casilla: Proteger mi equipo y mi

red limitando o

impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual

que el blaster, es

una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente

rootkit. En este

punto, y dada la importancia que tiene la instalación de

un rootkit,

cabe definir que es exactamente esta herramienta. Con

este nombre

definimos básicamente una herramienta de ocultación de

servicios,

conexiones, etc, etc... Un rootkit suele ir ligado a un

troyano, es

decir, el troyano es la herramienta para manejar el

sistema y el rootkit

la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano,

siempre que contemos

con los servicios de un antivirus actualizado no es

sencilla, ya que la

mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no

contamos con las

herramientas básicas de seguridad en un sistema, es

decir, firewall,

antivirus y sistema parcheado y actualizado, la pregunta

que cabe

hacernos es: ¿Podemos recuperar nuestro sistema sin

formateo?, ¿si

formateamos nuestra máquina estará segura?. Estás son

preguntas

controvertidas, al respecto cabe decir, que ni Microsoft

ni ninguna casa

de antivirus, recomienda el formateo como medio para

recuperar un

sistema. Yo no soy partidario de esta solución ya que,

lo veo demasiado

drástico, pero... hay que tener en cuenta nuestra

situación mi postura

es que cualquier sistema es recuperable, sin necesidad

de formateo.

Poniéndonos de cara a un usuario doméstico, cabe decir

que quizas la

solución no sea del todo desacertada. Pero, creo, que

habría que mirar

el caso específico de cada usuario. Una vez infectados

por el sasser,

debemos valorar si la recuperación del sistema es más

rentable (en

cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no

aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes

parches.

Como conclusión, resaltar que no es aconsejable en

absoluto recomendar

el formateo como norma general y recordar que la casa de

Antivirus Panda

ha desarrollado una herramienta para desinfectar el PC y

recuperarlo a

su estado anterior. Esta solución, sin ser tan drástica

como el formateo

podría servir para solventar el problema que se plantea

con la infección

de tan peligroso virus, la valoración, como norma

general la debería

hacer el usuario, sin imposiciones, cada caso puede ser

un mundo, por lo

que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos

.

.

.

ya.
a ver cielo, te pego debajo el mensje de ayer de un compañero.
Y por otra parte: dos dedos de frente te hacen ver cuando hay posibilidad de intrusion. Mirate los links de mi articulo y verás los ejecutables COMPILADOS, listos y con manual de uso para los script-kiddies. ¿hace falta algo mas que probarlo?... pues ademas lo prueba, que para eso estan las maquinas virtales.

Y precisamente eres tu, el que no tiene ni sentido comun... y mucho menos algun ligero conocimiento de informatica. Eres simplemente... por decirlo de alguna manera, un pobre mindundi resentido.

Pero.. si te falta cerebro.. allá tu,

copio--
"Juan Carlos Haces Gil Montfort" wrote in message news:
Antes que nada disculpen el cros, pero me parece importante compartir esto.

Trabajo en el área de sistemas en una empresa que se dedica a la comercialización, en el corporativo contamos con casi 300 equipos, en donde algunos son portátiles y están asignados a directores, gerentes y jefes de departamentos.

A raíz del problema con el Sasser se nos infectaron dos equipos, de estos, uno esta asignado a un director y como coincidencia este mismo equipo fue afectado por el Blaster el año pasado, desafortunadamente no nos fue posible formatear el equipo ya que el usuario se negó a ello y por más argumentos que utilizamos su respuesta fue siempre la misma; "NO". De más esta mencionar que aunque le corrimos parches, antivirus y el equipo ya no presentaba el Blaster este fue uno de los que mayor número de problemas presentaron hasta hace unos días (cuelgues, reincidencia de virus, espías, etc.).

Regresando al tema, ahora con esta infección del Sasser y utilizando otros argumentos nos dimos el lujo de formatear la computadora y de pasada hacer unas pruebas (motivadas por unos post's en los que se hace referencia al firewall del XP), mismas que les detallo a continuación:

1.- Instalación limpia del XP.
2.- Instalación del parche para el Blaster.
3.- Pruebas activando y desactivando el firewall del XP, todo correcto.
4.- Conexión a Internet por medio de ADSL sin poner el parche para el Sasser.
5.- Ya conectado a Internet desactivación del firewall.
6.- Ni cinco minutos y el equipo ya estaba reiniciando con el mensaje de error en LSA Shell, etc., etc., etc.
7.- Reinicio de la computadora sin conectar a Internet.
8.- Primer síntoma el equipo lento, y con el uso del CPU al 100%.
9.- Segundo síntoma en el administrador de tareas se encontraban los procesos avserve.exe y avserve2.exe.
10.- El equipo esta infectado con el Sasser (como era de esperarse).
11.- Siguiendo con las pruebas se "removió" el Sasser utilizando la utilería Fxsasser.exe de Symantec.
12.- Se cargo el parche de Microsoft para el Sasser y se reinicio el equipo.
13.- Se activó el firewall del XP. (pero en menos de dos segundos ya aparecía como desactivado).
14.- Se activó el firewall del XP. (pero en menos de dos segundos ya aparecía como desactivado).
15.- Se activó el firewall del XP. (pero en menos de dos segundos ya aparecía como desactivado).
16.- Se activó el firewall del XP. (pero en menos de dos segundos ya aparecía como desactivado).
17.- Instalación del firewall de Symantec (ya que el del XP no quiso o no pudo funcionar).
18.- Conexión a Internet con actualizaciones críticas y firewall de terceros instalado.
19.- En menos de cinco minutos el firewall detecto y bloqueo 72 intentos de salida a Internet por procesos de los que nunca había escuchado y algunos cuantos que trataron de entrar desde Internet (desgraciadamente por la euforia de la prueba no saque copia del log).
20.- Desconexión de Internet, formateo, instalación en limpio del XP y por último parches y actualizaciones críticas.
21.- Instalación del firewall de Symantec y conexión a Internet.
22.- Después de esto y de una hora de estar conectado y usando el equipo el firewall detectó algunos intentos de salida (los normales, al utilizar la ayuda de Windows por ejemplo) y otros tantos de entrada desde Internet.
23.- Conclusiones:
a.-) Una vez que se infecta un equipo con el Sasser este queda "tocado", aún después de remover el virus.
b.-) Aplicar el procedimiento que se documenta en la página de Microsoft no ayuda mucho (salvo para rescatar datos antes de formatear).
c.-) Cuando se hacen estas pruebas es importante sacar copias de los log's.

Me imagino que este tipo de pruebas ya las han realizado algunos de ustedes, pero me pareció interesante hacerlas por mi mismo, además no me tomo más de cinco horas hacer y deshacer con esto, aprovechando además para tener al usuario por un lado para que él mismo constatara lo que puede ocasionar el uso irresponsable de su herramienta de trabajo (espero no le deshabilite nuevamente el firewall y ya no le preste el equipo a sus hijos).


Lo anterior no lo expongo con el ánimo de ofender a nadie, ni de causar polémicas e hilos interminables, únicamente para dar mi testimonio de lo que sucede antes y después de un ataque de este virus, y que cada quien saque sus propias conclusiones (las mías ya están detalladas), además me gustaría agregar que lo mejor en estos casos es la prevención o "curarse en salud" instalando parches y actualizaciones críticas antes y no después de una infección de cualquier virus.

Saludos a todos.



Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




wrote in message news:9dfc01c43444$b02287d0$
Yo he razonado las respuestas.
Tu te basas en SENSACIONES, manías y dogmas. Nada científico.
¿tienes algún argumento para continuar?

diselo al resto de usuarios que son como tu :-)

de verdad.. pecas de una prepotencia que te faltan

conocimientos para poder presumir de ella. jeje...:-))))

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




wrote in message

news:9e3f01c43441$fc3d9770$

Por partes, como diría Jack el Destripador:

Respecto a la banca on-line. Suelen utilizar no sólo
códigos de acceso y contraseña para acceder, sino también
claves de confirmación para las operaciones y estas claves
están en una tarjeta que evidentemente ningun software
puede leer. Además en caso de una operación anómala, el
propio banco se tomaría mucho interés en el asunto.

Respecto a las tarjetas de crédito. En caso de operaciones
no presenciales (es el caso de las operaciones por
internet) con tarjeta de crédito, la carga de la prueba la
tiene el vendedor. Por lo tanto, cuando si te llega un
cargo indebido, es suficiente con comunicarlo al banco.

Respecto a la información confidencial. Si realmente es
importante, no la tengas en un equipo. Debe tenerse en
soporte informatico, cifrada y en caja fuerte; y utilizarla
en un equipo no conectado a internet. Evidentemente en la
confidencialidad también hay grados y puedes ir rebajando
medidas.

En lo último coincido. Cada uno que haga lo que crea
oportuno, pero... cuando se aconseja se debe aconsejar
objetivamente, NO MIRANDO CON TU PRISMA.

Repito por ultima vez:

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento.

Ahora bien tu haz lo que quieras.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




wrote in message

news:9dbb01c4343b$151ca490$

Sigues sin comprender que no es lo mismo nuestro pc que un
sistema informático de una empresa y mucho menos el de un
banco o los de la administración pública.

Leelo despacio haber si asi lo entiendes.

Esta diferencia es evidente en varios aspectos. No es lo
mismo una parada en nuestro pc que en esos sistemas. No es
lo mismo una perdida de datos en nuestro pc que en esos
sistemas. No es lo mismo una intrusión en nuestro pc que en
esos sistemas.

YUo sigo aconsejando el formateo por un simple motivo. El

posible rootkit: aara un tecnico en informatica puede ser
mas o menos costos quitarlo dependiendo con que tecnicas
esté realizado (por suepuesto ninguna herramienta en este
caso te lo va a quitar). Pero para un usuario final es algo
imposible de hacer.

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento... dicha informacion salga de mi maquina. Y si me
meten un rottkit bien diseñado, por mucho que use el
parche, me limpie con las herramientas de limpieza de las
casas de antivirus, etc. esa informacion saldrá.

Ahora te pregunto tambien: en el hipotetico caso que el

ministerior del interior, hacienda, etc. fuese
infectado, tu como usuario y para integridad de tus datos
no les EXIGIRIAS que formateasen sus maquinas?

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




"fermu" wrote in message

news:e%

Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un

gusano que para

propagarse a otros equipos, aprovecha la vulnerabilidad

en el proceso

LSASS (Local Security Authority Subsystem). Sólo afecta

a equipos

Windows 2000/XP y Windows Server 2003 sin actualizar.

El virus sasser

actuará de scanner en el equipo afectado para detectar

la posibilidad

de infectar a otro equipos que no tengan cubierta la

citada

vulnerabilidad con lo cual detectaremos un intenso

tráfico de salida

provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de

reinicio podría

desaparecer en cuanto su código se perfeccione, con lo

cual el único

síntoma que nos quedaría sería el tráfico en los puertos

antes citados,

los pasos para desinfectarlos, recomendados por las

diferentes casas de

antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del

directorio de Windows

y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución

del regedit (

Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición,

Buscar: avserve)

y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la

herramienta de

Restaurar Sistema ( Menú Inicio, Panel de Control,

Sistema, Lengueta:

Restaurar sistema, marcar la casilla: Deshabilitar

Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP

o 2003 puede

recurrirse al Firewall propio. ( Menú Inicio, Panel de

Control,

Conexiones de Red, Propiedades de la conexión principal,

Lengueta:

Avanzadas, marcar la casilla: Proteger mi equipo y mi

red limitando o

impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual

que el blaster, es

una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente

rootkit. En este

punto, y dada la importancia que tiene la instalación de

un rootkit,

cabe definir que es exactamente esta herramienta. Con

este nombre

definimos básicamente una herramienta de ocultación de

servicios,

conexiones, etc, etc... Un rootkit suele ir ligado a un

troyano, es

decir, el troyano es la herramienta para manejar el

sistema y el rootkit

la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano,

siempre que contemos

con los servicios de un antivirus actualizado no es

sencilla, ya que la

mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no

contamos con las

herramientas básicas de seguridad en un sistema, es

decir, firewall,

antivirus y sistema parcheado y actualizado, la pregunta

que cabe

hacernos es: ¿Podemos recuperar nuestro sistema sin

formateo?, ¿si

formateamos nuestra máquina estará segura?. Estás son

preguntas

controvertidas, al respecto cabe decir, que ni Microsoft

ni ninguna casa

de antivirus, recomienda el formateo como medio para

recuperar un

sistema. Yo no soy partidario de esta solución ya que,

lo veo demasiado

drástico, pero... hay que tener en cuenta nuestra

situación mi postura

es que cualquier sistema es recuperable, sin necesidad

de formateo.

Poniéndonos de cara a un usuario doméstico, cabe decir

que quizas la

solución no sea del todo desacertada. Pero, creo, que

habría que mirar

el caso específico de cada usuario. Una vez infectados

por el sasser,

debemos valorar si la recuperación del sistema es más

rentable (en

cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no

aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes

parches.

Como conclusión, resaltar que no es aconsejable en

absoluto recomendar

el formateo como norma general y recordar que la casa de

Antivirus Panda

ha desarrollado una herramienta para desinfectar el PC y

recuperarlo a

su estado anterior. Esta solución, sin ser tan drástica

como el formateo

podría servir para solventar el problema que se plantea

con la infección

de tan peligroso virus, la valoración, como norma

general la debería

hacer el usuario, sin imposiciones, cada caso puede ser

un mundo, por lo

que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos

.

.

.

Entre líneas las respuestas

Partiendo de cada uno puede hacer lo que le venga en gana

con su equipo y cada cual con lo suyo después de estar
advertido y sabiendo elriesgo que puede correr:

El tema de tarejtas no es necesario en banca on-line desde

casa, puesto que tú para hacer operaciones vía internet no
necesitas de una tarjeta para conectarte generalmente. La
operativa es tan básica como conectar vía HTTPS y ofrecer
un juego de claves y presentar el certificado digital
correspondiente a validar. Es precisamente en entorno
empresarial donde sí se suele hacer uso de tarjetas para
iniciar sesión en los equipos y acceder por tanto a ellos

No me refiero a tarjetas magnéticas o con chip para iniciar
sesión, sino a tarjetas con una matriz de claves. El banco
te pide que introduzcas la clave correspondiente a una
fila-columna, en cada operación.
La conexión segura, en el caso que discutimos, no es
relevante y lo mismo el certificado digital, si, como es
habitual, está siempre instalado en el equipo.

La información confidencial la puedes tener como bien

dices de ese modo, que es lo más seguro, por supuesto, pero
como es lo normal , la gente lo tiene en el PC de su
casa...y para eso existe un mecanismo de encriptación que
es EFS, el cual si alguien consigue robarte tu certificado
o el del agente de recuperación te va a dar lo mismo puesto
que podrá acceder a dicha información confidencial.

Bien, yo prefiero pasar de EFS y utilizar otro sistema de
encriptación.

Lo de comunicar las cosas al banco me parece perfecto,

ahora, cuéntaselo a la persona afectada a ver qué le parece
el pasar por toda la burocracia que hay de por medio. Y
ahora dile qué se ppodrí haber evitado siguiendo ciertas
pautas...y a ver cuál prefiere

Sí es una lata, pero no es frecuente que ocurra. Se dan
muchos mas casos de estafas al utilizar la tarjeta en
lugares poco recomendables, o hurtos de tarjetas o en los
mismo cajeros.

Y si ya entonces nos vamos a servidores de una empresa la

cosa puede cambiar y bastante.

que el mensaje es muy claro; hay que tener en mente que el

formateo puede ser necesario, pero ya cada cual que
apechugue con lo suyo...total, no voy a ser yo el que
pierda nada :-)

La discusión no es, aunque pueda parecerlo, si es necesario
o no el formateo. La discusión surgió por la recomendación
GENERAL de formatear. Esto no es correcto.
De acuerdo que en algún caso, puede ser necesario
formatear, incluso, en algun caso, puede ser más sencillo
formatear e instalar, pero no es lo normal.

Salu2!!!

Javier Inglés, MS-MVP
http://mvp.support.microsoft.com/default.aspx

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho

escribió en el

mensaje news:9e3f01c43441$fc3d9770$

Por partes, como diría Jack el Destripador:

Respecto a la banca on-line. Suelen utilizar no sólo
códigos de acceso y contraseña para acceder, sino también
claves de confirmación para las operaciones y estas claves
están en una tarjeta que evidentemente ningun software
puede leer. Además en caso de una operación anómala, el
propio banco se tomaría mucho interés en el asunto.

Respecto a las tarjetas de crédito. En caso de operaciones
no presenciales (es el caso de las operaciones por
internet) con tarjeta de crédito, la carga de la prueba la
tiene el vendedor. Por lo tanto, cuando si te llega un
cargo indebido, es suficiente con comunicarlo al banco.

Respecto a la información confidencial. Si realmente es
importante, no la tengas en un equipo. Debe tenerse en
soporte informatico, cifrada y en caja fuerte; y utilizarla
en un equipo no conectado a internet. Evidentemente en la
confidencialidad también hay grados y puedes ir rebajando
medidas.

En lo último coincido. Cada uno que haga lo que crea
oportuno, pero... cuando se aconseja se debe aconsejar
objetivamente, NO MIRANDO CON TU PRISMA.

Repito por ultima vez:

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento.

Ahora bien tu haz lo que quieras.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




wrote in message

news:9dbb01c4343b$151ca490$

Sigues sin comprender que no es lo mismo nuestro pc que un
sistema informático de una empresa y mucho menos el de un
banco o los de la administración pública.

Leelo despacio haber si asi lo entiendes.

Esta diferencia es evidente en varios aspectos. No es lo
mismo una parada en nuestro pc que en esos sistemas. No es
lo mismo una perdida de datos en nuestro pc que en esos
sistemas. No es lo mismo una intrusión en nuestro pc que en
esos sistemas.

YUo sigo aconsejando el formateo por un simple motivo. El

posible rootkit: aara un tecnico en informatica puede ser
mas o menos costos quitarlo dependiendo con que tecnicas
esté realizado (por suepuesto ninguna herramienta en este
caso te lo va a quitar). Pero para un usuario final es algo
imposible de hacer.

Miralo bajo el prisma que yo lo miro: yo uso mucho la

banca on-line. Realizo muchas transacciones comerciales con
mi maquina. Uso mucho las tarjetas de credito para compras
online. Tengo informacion confidencial (o importante) de mi
trabajo en mi maquina.

Por tanto, no puedo arriesgarme a que en cualquier

momento... dicha informacion salga de mi maquina. Y si me
meten un rottkit bien diseñado, por mucho que use el
parche, me limpie con las herramientas de limpieza de las
casas de antivirus, etc. esa informacion saldrá.

Ahora te pregunto tambien: en el hipotetico caso que el

ministerior del interior, hacienda, etc. fuese
infectado, tu como usuario y para integridad de tus datos
no les EXIGIRIAS que formateasen sus maquinas?

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.




"fermu" wrote in message

news:e%

Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un

gusano que para

propagarse a otros equipos, aprovecha la vulnerabilidad

en el proceso

LSASS (Local Security Authority Subsystem). Sólo afecta

a equipos

Windows 2000/XP y Windows Server 2003 sin actualizar.

El virus sasser

actuará de scanner en el equipo afectado para detectar

la posibilidad

de infectar a otro equipos que no tengan cubierta la

citada

vulnerabilidad con lo cual detectaremos un intenso

tráfico de salida

provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de

reinicio podría

desaparecer en cuanto su código se perfeccione, con lo

cual el único

síntoma que nos quedaría sería el tráfico en los puertos

antes citados,

los pasos para desinfectarlos, recomendados por las

diferentes casas de

antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del

directorio de Windows

y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución

del regedit (

Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición,

Buscar: avserve)

y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la

herramienta de

Restaurar Sistema ( Menú Inicio, Panel de Control,

Sistema, Lengueta:

Restaurar sistema, marcar la casilla: Deshabilitar

Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP

o 2003 puede

recurrirse al Firewall propio. ( Menú Inicio, Panel de

Control,

Conexiones de Red, Propiedades de la conexión principal,

Lengueta:

Avanzadas, marcar la casilla: Proteger mi equipo y mi

red limitando o

impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual

que el blaster, es

una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente

rootkit. En este

punto, y dada la importancia que tiene la instalación de

un rootkit,

cabe definir que es exactamente esta herramienta. Con

este nombre

definimos básicamente una herramienta de ocultación de

servicios,

conexiones, etc, etc... Un rootkit suele ir ligado a un

troyano, es

decir, el troyano es la herramienta para manejar el

sistema y el rootkit

la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano,

siempre que contemos

con los servicios de un antivirus actualizado no es

sencilla, ya que la

mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no

contamos con las

herramientas básicas de seguridad en un sistema, es

decir, firewall,

antivirus y sistema parcheado y actualizado, la pregunta

que cabe

hacernos es: ¿Podemos recuperar nuestro sistema sin

formateo?, ¿si

formateamos nuestra máquina estará segura?. Estás son

preguntas

controvertidas, al respecto cabe decir, que ni Microsoft

ni ninguna casa

de antivirus, recomienda el formateo como medio para

recuperar un

sistema. Yo no soy partidario de esta solución ya que,

lo veo demasiado

drástico, pero... hay que tener en cuenta nuestra

situación mi postura

es que cualquier sistema es recuperable, sin necesidad

de formateo.

Poniéndonos de cara a un usuario doméstico, cabe decir

que quizas la

solución no sea del todo desacertada. Pero, creo, que

habría que mirar

el caso específico de cada usuario. Una vez infectados

por el sasser,

debemos valorar si la recuperación del sistema es más

rentable (en

cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no

aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes

parches.

Como conclusión, resaltar que no es aconsejable en

absoluto recomendar

el formateo como norma general y recordar que la casa de

Antivirus Panda

ha desarrollado una herramienta para desinfectar el PC y

recuperarlo a

su estado anterior. Esta solución, sin ser tan drástica

como el formateo

podría servir para solventar el problema que se plantea

con la infección

de tan peligroso virus, la valoración, como norma

general la debería

hacer el usuario, sin imposiciones, cada caso puede ser

un mundo, por lo

que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos

.

.

.