Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

[Seguridad] Virus sasser consideraciones

07/05/2004 - 14:13 por fermu | Informe spam
Ayuda Hacer una pregunta
Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un gusano que para
propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso
LSASS (Local Security Authority Subsystem). Sólo afecta a equipos
Windows 2000/XP y Windows Server 2003 sin actualizar. El virus sasser
actuará de scanner en el equipo afectado para detectar la posibilidad
de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso tráfico de salida
provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de reinicio podría
desaparecer en cuanto su código se perfeccione, con lo cual el único
síntoma que nos quedaría sería el tráfico en los puertos antes citados,
los pasos para desinfectarlos, recomendados por las diferentes casas de
antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del directorio de Windows
y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución del regedit (
Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición, Buscar: avserve)
y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la herramienta de
Restaurar Sistema ( Menú Inicio, Panel de Control, Sistema, Lengueta:
Restaurar sistema, marcar la casilla: Deshabilitar Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP o 2003 puede
recurrirse al Firewall propio. ( Menú Inicio, Panel de Control,
Conexiones de Red, Propiedades de la conexión principal, Lengueta:
Avanzadas, marcar la casilla: Proteger mi equipo y mi red limitando o
impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual que el blaster, es
una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente rootkit. En este
punto, y dada la importancia que tiene la instalación de un rootkit,
cabe definir que es exactamente esta herramienta. Con este nombre
definimos básicamente una herramienta de ocultación de servicios,
conexiones, etc, etc... Un rootkit suele ir ligado a un troyano, es
decir, el troyano es la herramienta para manejar el sistema y el rootkit
la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano, siempre que contemos
con los servicios de un antivirus actualizado no es sencilla, ya que la
mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no contamos con las
herramientas básicas de seguridad en un sistema, es decir, firewall,
antivirus y sistema parcheado y actualizado, la pregunta que cabe
hacernos es: ¿Podemos recuperar nuestro sistema sin formateo?, ¿si
formateamos nuestra máquina estará segura?. Estás son preguntas
controvertidas, al respecto cabe decir, que ni Microsoft ni ninguna casa
de antivirus, recomienda el formateo como medio para recuperar un
sistema. Yo no soy partidario de esta solución ya que, lo veo demasiado
drástico, pero... hay que tener en cuenta nuestra situación mi postura
es que cualquier sistema es recuperable, sin necesidad de formateo.
Poniéndonos de cara a un usuario doméstico, cabe decir que quizas la
solución no sea del todo desacertada. Pero, creo, que habría que mirar
el caso específico de cada usuario. Una vez infectados por el sasser,
debemos valorar si la recuperación del sistema es más rentable (en
cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes parches.


Como conclusión, resaltar que no es aconsejable en absoluto recomendar
el formateo como norma general y recordar que la casa de Antivirus Panda
ha desarrollado una herramienta para desinfectar el PC y recuperarlo a
su estado anterior. Esta solución, sin ser tan drástica como el formateo
podría servir para solventar el problema que se plantea con la infección
de tan peligroso virus, la valoración, como norma general la debería
hacer el usuario, sin imposiciones, cada caso puede ser un mundo, por lo
que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos
email Siga el debateRespuesta 48 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#21 anonymous
07/05/2004 - 17:56 | Informe spam
NO TE ENTERAS, CORREO ORDINARIO, NO EMAIL


<<<No se refire a tarjetas que se tengan que introducir por una ranura, se refiere a tarjetas de claves que
te envian por correo despues de abrir una cuenta y que para cada operacion te piden en la we
que introduzcas una de ellas a azar. Yo con los que opero no te piden certificados digitales. Sol
claves al azar.>>

Bien, y supongo que las eliminas del correo después no??? Porque si no ahí tienes otro punto de fallo...del que uno se puede aprovechar si accede al equipo

Y sinceramente, operar sin certificados de por medio me da caguitis, ya que de lo contrario no se verifica que el sitio con el que tratas es verídico :-)), y por tanto, te pueden quitar la clave de modo sencillo (como pasó con el flaw de IE detectado que se aprovechaba de ésto...mira si es fácil y la de gente que picó...


Salu2!!

Javier Inglés, MS-MV
http://mvp.support.microsoft.com/default.asp

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derech


escribió en el mensaje news:
No se refire a tarjetas que se tengan que introducir por una ranura, se refiere a tarjetas de claves que
te envian por correo despues de abrir una cuenta y que para cada operacion te piden en la we
que introduzcas una de ellas a azar. Yo con los que opero no te piden certificados digitales. Sol
claves al azar
El rootkit tendria que tener algo de IA para encontrar todas las claves de dicha tarjeta y estar detras de t


durante meses o años dependiendo de las operaciones que hagas por internet. ¿Lo ves posible
Yo, ni remotamente
El tema de tarejtas no es necesario en banca on-line desde casa, puesto que tú para hacer operaciones vía internet >no necesitas de una tarjeta para conectarte generalmente. La operativa es tan básica como conectar vía HTTPS y ofrecer >un juego de claves y presentar el certificado digital correspondiente a validar. Es precisamente en entorno empresarial >donde sí se suele hacer uso de tarjetas para iniciar sesión en los equipos y acceder por tanto a ello









Respuesta Responder a este mensaje
#22 Javier Inglés [MS MVP]
07/05/2004 - 17:57 | Informe spam
Muy bien en ese caso...y en el que no funcione así???

Y a parteseguimos con el caso de tener información en el equipo...
Salu2!!!

Javier Inglés, MS-MVP
http://mvp.support.microsoft.com/default.aspx

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


escribió en el mensaje news:
No te enteras la tarjeta de claves la llevas en el bolsillo. Y tiene 40 claves.
Y ES ABSOLUTAMENTE NECESARIA PARA OPERAR, SI LA PIERDES TIENES QUE PEDIR OTRA.


ok

<<<No me refiero a tarjetas magnéticas o con chip para iniciar
sesión, sino a tarjetas con una matriz de claves. El banco
te pide que introduzcas la clave correspondiente a una
fila-columna, en cada operación.
La conexión segura, en el caso que discutimos, no es
relevante y lo mismo el certificado digital, si, como es
habitual, está siempre instalado en el equipo. >>>

Por tanto, para poder hace eso...antes te has tenido que validar, y si te acceden en remoto y te quitan claves y certificados, que es previo a todo eso, pues ya tenemos el problema

Y para hacer un transacción te vale con poner después los datos que quieras de la cuenta a la que mueves el dinero, por ejemplo


Respuesta Responder a este mensaje
#23 JM Tella Llop [MVP Windows]
07/05/2004 - 17:59 | Informe spam
Tienes suerte. Mi banco no da eso y me parece que en donde trabaja Javier tampoco.

¿cuantos mas hay así?..

De verdad.. si "entrenas" un poco más, igual te sales.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




wrote in message news:
No te enteras la tarjeta de claves la llevas en el bolsillo. Y tiene 40 claves.
Y ES ABSOLUTAMENTE NECESARIA PARA OPERAR, SI LA PIERDES TIENES QUE PEDIR OTRA.


ok

<<<No me refiero a tarjetas magnéticas o con chip para iniciar
sesión, sino a tarjetas con una matriz de claves. El banco
te pide que introduzcas la clave correspondiente a una
fila-columna, en cada operación.
La conexión segura, en el caso que discutimos, no es
relevante y lo mismo el certificado digital, si, como es
habitual, está siempre instalado en el equipo. >>>

Por tanto, para poder hace eso...antes te has tenido que validar, y si te acceden en remoto y te quitan claves y certificados, que es previo a todo eso, pues ya tenemos el problema

Y para hacer un transacción te vale con poner después los datos que quieras de la cuenta a la que mueves el dinero, por ejemplo


Respuesta Responder a este mensaje
#24 Javier Inglés [MS MVP]
07/05/2004 - 18:11 | Informe spam
A ver...2 cositas para poder seguir debatiendo un poco amistosamente el tema:

1.-No me grites, me entero mejor si escribes en minúsculas y me parece una falta de consideración

2.-Efectivamente soy muy cortito y me gusta que las cosas me las mastiquen un poco para poder estar al nivel de otra persona cuando debato con ella algo, por tanto, de ahora en adelante en vez de tener que hacer uso de la bola de cristal para leerte el pensamiento, por favor, aclárame un poco tus frases matizando, ya te digo que soy muy cortito :-)) -auqnue también puede ser que tú no te expliques bien-

Y ahora siguiendo con el tema, que me parece cojonudo, si me dices la entidad bancaria que hace eso te lo agradecería, aquí en España no conozco ninguna que lo haga de ese modo (ni SCH, ni BBVA, ni Cajamadrid, ni Banesto, ni Patagon ,ni Caja Duero, etc...por lo que si me lo dices te lo agradeceré para saberlo y tenerlo en cuenta).

Y en ese caso, que es uno de los que te quitas...sigues teniendo el otro problema de docuemntos en el equipo o que se te instale algo por debajo (ejemplo, un keylogger llanamente para cazar tus pulsaciones de teclado...lo vas pillando???)

Salu2!!!

Javier Inglés, MS-MVP
http://mvp.support.microsoft.com/default.aspx

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


escribió en el mensaje news:
NO TE ENTERAS, CORREO ORDINARIO, NO EMAIL.


<<<No se refire a tarjetas que se tengan que introducir por una ranura, se refiere a tarjetas de claves que
te envian por correo despues de abrir una cuenta y que para cada operacion te piden en la web
que introduzcas una de ellas a azar. Yo con los que opero no te piden certificados digitales. Solo
claves al azar.>>>

Bien, y supongo que las eliminas del correo después no??? Porque si no ahí tienes otro punto de fallo...del que uno se puede aprovechar si accede al equipo.

Y sinceramente, operar sin certificados de por medio me da caguitis, ya que de lo contrario no se verifica que el sitio con el que tratas es verídico :-)), y por tanto, te pueden quitar la clave de modo sencillo (como pasó con el flaw de IE detectado que se aprovechaba de ésto...mira si es fácil y la de gente que picó...)


Salu2!!!

Javier Inglés, MS-MVP
http://mvp.support.microsoft.com/default.aspx

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


escribió en el mensaje news:
> No se refire a tarjetas que se tengan que introducir por una ranura, se refiere a tarjetas de claves que
> te envian por correo despues de abrir una cuenta y que para cada operacion te piden en la web
> que introduzcas una de ellas a azar. Yo con los que opero no te piden certificados digitales. Solo
> claves al azar.
>> El rootkit tendria que tener algo de IA para encontrar todas las claves de dicha tarjeta y estar detras de ti
> durante meses o años dependiendo de las operaciones que hagas por internet. ¿Lo ves posible?
> Yo, ni remotamente.
>>>>>> El tema de tarejtas no es necesario en banca on-line desde casa, puesto que tú para hacer operaciones vía internet >no necesitas de una tarjeta para conectarte generalmente. La operativa es tan básica como conectar vía HTTPS y ofrecer >un juego de claves y presentar el certificado digital correspondiente a validar. Es precisamente en entorno empresarial >donde sí se suele hacer uso de tarjetas para iniciar sesión en los equipos y acceder por tanto a ellos
>>
Respuesta Responder a este mensaje
#25 Anonimo
07/05/2004 - 18:25 | Informe spam
A ver...2 cositas para poder seguir debatiendo un poco


amistosamente el tema:

1.-No me grites, me entero mejor si escribes en


minàºsculas y me parece una falta de consideración




Parece que alguien más postea con anonimous. Yo no 'grito',
cuando pongo mayúsculas subrayo.


2.-Efectivamente soy muy cortito y me gusta que las cosas


me las mastiquen un poco para poder estar al nivel de otra
persona cuando debato con ella algo, por tanto, de ahora en
adelante en vez de tener que hacer uso de la bola de
cristal para leerte el pensamiento, por favor, aclà¡rame un
poco tus frases matizando, ya te digo que soy muy cortito
:-)) -auqnue también puede ser que tຠno te expliques bien-

Y ahora siguiendo con el tema, que me parece cojonudo, si


me dices la entidad bancaria que hace eso te lo
agradecerà­a, aquà­ en Espaà±a no conozco ninguna que lo
haga de ese modo (ni SCH, ni BBVA, ni Cajamadrid, ni
Banesto, ni Patagon ,ni Caja Duero, etc...por lo que si me
lo dices te lo agradeceré para saberlo y tenerlo en cuenta).




Pues la hay.

Y en ese caso, que es uno de los que te quitas...sigues


teniendo el otro problema de docuemntos en el equipo o que
se te instale algo por debajo (ejemplo, un keylogger
llanamente para cazar tus pulsaciones de teclado...lo vas
pillando???)




Lo pillo. Yo no necesito que me lo expliquen despacio.
Los keylogger no son de utilidad, pues cada operación
tienes que validarla con la clave de la fila-columna que te
pide el banco. Esto es aleatorio. Tienes que tener la
tarjeta para poder operar.




Salu2!!!

Javier Inglés, MS-MVP
http://mvp.support.microsoft.com/default.aspx

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como està¡" sin garantà­as de


ninguna clase, y no otorga ningàºn derecho


escribió en el


mensaje
news:
NO TE ENTERAS, CORREO ORDINARIO, NO EMAIL.


<<<No se refire a tarjetas que se tengan que




introducir por una ranura, se refiere a tarjetas de claves que
te envian por correo despues de abrir una cuenta y




que para cada operacion te piden en la web
que introduzcas una de ellas a azar. Yo con los que




opero no te piden certificados digitales. Solo
claves al azar.>>>

Bien, y supongo que las eliminas del correo




después no??? Porque si no ahà­ tienes otro punto de
fallo...del que uno se puede aprovechar si accede al equipo.

Y sinceramente, operar sin certificados de por




medio me da caguitis, ya que de lo contrario no se verifica
que el sitio con el que tratas es verà­dico :-)), y por
tanto, te pueden quitar la clave de modo sencillo (como
pasó con el flaw de IE detectado que se aprovechaba de
ésto...mira si es fà¡cil y la de gente que picó...)


Salu2!!!

Javier Inglés, MS-MVP
http://mvp.support.microsoft.com/default.aspx

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como està¡" sin




garantà­as de ninguna clase, y no otorga ningàºn derecho


escribió en




el mensaje
news:
> No se refire a tarjetas que se tengan que




introducir por una ranura, se refiere a tarjetas de claves que
> te envian por correo despues de abrir una cuenta




y que para cada operacion te piden en la web
> que introduzcas una de ellas a azar. Yo con los




que opero no te piden certificados digitales. Solo
> claves al azar.
>> El rootkit tendria que tener algo de IA para




encontrar todas las claves de dicha tarjeta y estar detras
de ti
> durante meses o aà±os dependiendo de las




operaciones que hagas por internet. ¿Lo ves posible?
> Yo, ni remotamente.
>>>>>> El tema de tarejtas no es necesario en




banca on-line desde casa, puesto que tຠpara hacer
operaciones và­a internet >no necesitas de una tarjeta para
conectarte generalmente. La operativa es tan bà¡sica como
conectar và­a HTTPS y ofrecer >un juego de claves y
presentar el certificado digital correspondiente a validar.
Es precisamente en entorno empresarial >donde sà­ se suele
hacer uso de tarjetas para iniciar sesión en los equipos y
acceder por tanto a ellos
>>


.

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida