Sobre lo del Blaster y formatear o no formatear

Mas cosas. Antes he puesto: si has sido vulnerable,... ¿sabes que?:

Con la *seguridad* no debe jugarse... ¿has cambiado todas las password incluidas las de tu ISP o cualquier cosa que tuvieses en tu maquina? ahora esas password estan en la red. no te quejes si se usa tu cuenta de correo para spam por ejemplo. O que estes distiruyendo pornografia sin saberlo..Y no quiero ni pensar si tenias el certificado de hacienda en tu maquina. ¿estas seguro que no se lo han llevado? es muy facil con él, y con copia de la SAM falsificar ahora tu identidad fiscal..

Es decir. CUIDADÍN...


Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Guillermo Rey" wrote in message news:%

Hola a todos:

Vamos a ver...
A ver si entendemos una cosa...
El TEMA no está en limpiar el virus (que se limpia como cualquier otro
virus con antídoto), el TEMA es que has tenido un agujero en tu equipo de
facilisima explotación y que ha permitido a cualquier con unos conocimientos
no superiores a los de un alumno de ESO de hoy en día (no os enfadéis es que
ayer estuve con uno... buf! ;)) entrar en tu ordenador y hacer lo que ha
querido.

Y AHORA VIENE LO IMPORTANTE...
Razonamiento Standard...
1.- ¿Bueno, si no ha hecho nada (no me ha borrado datos) y ahora tiene
las puertas cerradas.. porque debería de preocuparme?
2.- ¿A quien le iban a importar las fotos de las vacaciones y el fichero
word con los buenos propósitos del año?
3.- ¿Buf, mis cuentas, pues lo que robe que se lo lleve que no coge ni
un bus ;)?

Pues las 3 cuestiones olvidan un elemento importante... ¿sabéis lo que
ha estado haciendo uno de mis mejores amigos (un pingüino-boy de los mejores
de España)?
HA ESTADO LIMPIANDO una estación SUN que había sido hackeada por un tipo
realmente profesional.
¿Qué había en esa máquina que le hiciera molestarse? NADA. Lo que le
interesaba era la MAQUINA EN SI.
Desde esa máquina realizó multitud de ataques a bancos y sedes
oficiales, sabéis lo que pasó no? sabéis a donde fue la policía...
Menos mal que era una máquina universitaria y era evidente que la
protección de la máquina era mínima (bueno, realmente era de pena).
Y hablamos de PROFESIONALES, gente que modificó los ejecutables para
dejarse backdoors sin modificar la longitud de los ficheros NI SU FIRMA,
gente que tiene todo tipo de fichero modificados.

O sea, que o estáis seguros de que podéis garantizar que lo que sale de
vuestra máquina es lo que tiene que salir... (en ese caso comprenderíais el
problema y formatearíais... a nadie le apetece sniffar su propia máquina
durante meses) o es que no entendéis que no es vuestros datos lo que le
puede interesar a alguien si no tener el control sobre vuestra máquina


Un abrazo


Guillermo Rey
Vigo (ESPAÑA)
Messenger bajo petición

¿Porqué si he quitado el gusano, aún me piden que debo formatear mi equipo?

Esta es una de las preguntas que más nos hacen y que lamentablemente en muy pocos lugares hemos vista explicada, y ni siquiera aconsejada.

El problema no es el gusano, sino lo que permitió que el gusano ingresara a nuestras computadoras (ver "Lo que debería saber sobre la vulnerabilidad RPC/DCOM", http://www.vsantivirus.com/vul-rpc-dcom.htm).

El gusano es solo un aviso de que cualquier intruso pudo llegar a hacer lo que se le diera la real gana en nuestro equipo. La vulnerabilidad le brinda un acceso total al mismo, y aún sin utilizar el gusano, cualquiera que utilice uno de tantos "exploits" disponibles actualmente, podría haber dejado cualquier otra clase de "sorpresa" que seguramente se activará en el momento menos pensado (un exploit es un programa o método concreto que saca provecho de una falla o agujero de seguridad de una aplicación o sistema, generalmente para un uso malicioso de dicha vulnerabilidad).

Un intruso también pudo haber hecho cambios en el sistema, incluido el registro, de los que nunca sabríamos nada, hasta que fuera muy tarde. En el mejor de los casos, perderíamos toda la información de nuestros discos inesperadamente, que es lo mismo que decir, que ello ocurrirá cuando más los necesitemos.

Por otra parte, existen muchos programas maliciosos creados recientemente, que aún no son reconocidos por los antivirus. Si bien lo serán cuando se activen, siempre estaremos al borde de un abismo, y seguro no nos puede causar ninguna gracia pensar que nuestra computadora sería el "conejillo de indias" para el código malicioso.

Dicho de otro modo, sacando el Lovsan, y cerrando las puertas para que no nos vuelvan a infectar o a acceder a nuestro equipo como se explicó en los puntos anteriores, ni nos asegura que no quedan archivos maliciosos, ni tampoco que no se hayan hecho modificaciones que nos resulten perjudiciales en el futuro.

Incluso existe una versión del Lovsan que instala un troyano capaz hasta de espiarnos con nuestra propia Web-Cam, o escucharnos por el micrófono de nuestra tarjeta. Si bien este troyano es identificable por los antivirus actualizados, no es una garantía que existan otros, que también se hayan colado por la vulnerabilidad que permitió la infección del Lovsan (que por cierto, tampoco es el único gusano que se aprovecha de esta falla).

Tomemos la infección del Lovsan como una señal de alarma. Si ocurre, hay que seguir estos pasos:

a. Borrar el gusano como se indicó antes.

b. Respaldar la información importante (no los programas)

c. Formatear nuestros discos para asegurarnos de que el sistema está limpio realmente, y reinstalar el sistema operativo y todos los programas.

d. MUY IMPORTANTE: instalar el parche correspondiente, y activar un cortafuegos, además de mantener al día nuestros antivirus.



sacado de: http://www.vsantivirus.com/faq-lovsan.htm#11



Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"JM Tella Llop [MS MVP] ·" wrote in message news:
Mas cosas. Antes he puesto: si has sido vulnerable,... ¿sabes que?:

Con la *seguridad* no debe jugarse... ¿has cambiado todas las password incluidas las de tu ISP o cualquier cosa que tuvieses en tu maquina? ahora esas password estan en la red. no te quejes si se usa tu cuenta de correo para spam por ejemplo. O que estes distiruyendo pornografia sin saberlo..Y no quiero ni pensar si tenias el certificado de hacienda en tu maquina. ¿estas seguro que no se lo han llevado? es muy facil con él, y con copia de la SAM falsificar ahora tu identidad fiscal..

Es decir. CUIDADÍN...


Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Guillermo Rey" wrote in message news:%

Hola a todos:

Vamos a ver...
A ver si entendemos una cosa...
El TEMA no está en limpiar el virus (que se limpia como cualquier otro
virus con antídoto), el TEMA es que has tenido un agujero en tu equipo de
facilisima explotación y que ha permitido a cualquier con unos conocimientos
no superiores a los de un alumno de ESO de hoy en día (no os enfadéis es que
ayer estuve con uno... buf! ;)) entrar en tu ordenador y hacer lo que ha
querido.

Y AHORA VIENE LO IMPORTANTE...
Razonamiento Standard...
1.- ¿Bueno, si no ha hecho nada (no me ha borrado datos) y ahora tiene
las puertas cerradas.. porque debería de preocuparme?
2.- ¿A quien le iban a importar las fotos de las vacaciones y el fichero
word con los buenos propósitos del año?
3.- ¿Buf, mis cuentas, pues lo que robe que se lo lleve que no coge ni
un bus ;)?

Pues las 3 cuestiones olvidan un elemento importante... ¿sabéis lo que
ha estado haciendo uno de mis mejores amigos (un pingüino-boy de los mejores
de España)?
HA ESTADO LIMPIANDO una estación SUN que había sido hackeada por un tipo
realmente profesional.
¿Qué había en esa máquina que le hiciera molestarse? NADA. Lo que le
interesaba era la MAQUINA EN SI.
Desde esa máquina realizó multitud de ataques a bancos y sedes
oficiales, sabéis lo que pasó no? sabéis a donde fue la policía...
Menos mal que era una máquina universitaria y era evidente que la
protección de la máquina era mínima (bueno, realmente era de pena).
Y hablamos de PROFESIONALES, gente que modificó los ejecutables para
dejarse backdoors sin modificar la longitud de los ficheros NI SU FIRMA,
gente que tiene todo tipo de fichero modificados.

O sea, que o estáis seguros de que podéis garantizar que lo que sale de
vuestra máquina es lo que tiene que salir... (en ese caso comprenderíais el
problema y formatearíais... a nadie le apetece sniffar su propia máquina
durante meses) o es que no entendéis que no es vuestros datos lo que le
puede interesar a alguien si no tener el control sobre vuestra máquina


Un abrazo


Guillermo Rey
Vigo (ESPAÑA)
Messenger bajo petición