Mil disculpa, si pongo esto ó si repito lo q ya se ha comentado hasta
el cansancio. Saludos...
VSantivirus No. 1396 Año 8, domingo 2 de mayo de 2004
Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm
1. ¿Cómo saber si mi PC está infectado?
2. ¿Qué daño puede causar Sasser a mi PC?
3. ¿Cuáles versiones de Windows son vulnerables al ataque?
4. ¿Cómo puedo proteger mi computadora de éste gusano?
5. ¿Que es un cortafuegos y donde puedo obtenerlo?
6. ¿Cómo instalo los parches de Windows?
7. No puedo descargar los parches de Microsoft porque mi computadora
se reinicia constantemente.
8. ¿Qué hago si mi computadora ya está infectada por el gusano Sasser?
9. Ya quité el gusano Sasser pero mi computadora se vuelve a infectar.
10. ¿Porqué si he quitado el gusano, aún me piden que debo formatear
mi equipo?
1. ¿Cómo saber si mi PC está infectado?
El síntoma típico es que el sistema se reinicia cada pocos minutos sin
ninguna acción del usuario.
En Windows XP, puede mostrarse una ventana con un mensaje muy similar
al siguiente:
LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos los inconvenientes ocasionados.
En Windows 2000 aparece una ventana casi idéntica a la provocada en
Windows XP por el gusano Blaster o Lovsan:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.
Además, en la mayoría de los sistemas infectados, el rendimiento del
mismo se degrada notoriamente, debido a que el gusano lanza 128 tareas
simultáneas.
2. ¿Qué daño puede causar Sasser a mi PC?
Este gusano no provoca ningún daño a los archivos locales de las
computadoras infectadas, tampoco borra o cambia datos en las mismas.
Sasser afecta el servicio de Internet debido principalmente al
excesivo tráfico que genera durante su intento de infección. Como
resultado, los canales de transmisión pueden saturarse y el servicio
de Internet será lento e intermitente.
Sin embargo, al utilizar un acceso shell y dejar abierto un servidor
FTP en la máquina infectada, las posibilidades de que herramientas
creadas por piratas informáticos puedan provocar daños impredecibles
al sistema infectado son muy grandes.
3. ¿Cuáles versiones de Windows son vulnerables al ataque?
Las siguientes versiones de Windows son vulnerables al ataque del
Sasser:
Windows 2000 SP2, SP3 y SP4
Windows XP y Microsoft Windows XP Service Pack 1
Windows XP 64-Bit Edition Service Pack 1
Windows XP 64-Bit Edition Version 2003
No son vulnerables:
Windows NT Workstation 4.0 Service Pack 6a
Windows NT Server 4.0 Service Pack 6a
Windows NT Server 4.0 Terminal Server Edition SP6
Windows Server 2003
Windows Server 2003 64-Bit Edition
Windows 95, 98, 98 SE y Me
4. ¿Cómo puedo proteger mi computadora de éste gusano?
Usted debe seguir los siguientes pasos para minimizar el riesgo de
infección con el Sasser:
a. Actualizar su programa antivirus y no desactivarlo mientras este
conectado a Internet.
b. Instalar un cortafuegos personal y bloquear los puertos 445, 5554 y
9996 (cortafuegos como ZoneAlarm y otros, bloquean estos puertos sin
necesidad de que usted lo deba indicar, si lo instala como se explica
en nuestras páginas
http://www.vsantivirus.com/za.htm).
c. Descargar y aplicar los parches recomendados por Microsoft para
eliminar la vulnerabilidad LSASS.
Recuerde que la descarga y aplicación de los parches de Microsoft son
importantes ya que estos evitarán que su computadora sea atacada
mediante la vulnerabilidad LSASS.
5. ¿Que es un cortafuegos y donde puedo obtenerlo?
Un cortafuegos es un programa especial que lo protege contra intrusos
controlando la transferencia de datos entre Internet y su computadora.
Un cortafuegos filtra programas y paquetes maliciosos. Además previene
la conexión de aplicaciones del área protegida hacia Internet.
Para usuarios caseros recomendamos:
Cortafuegos gratuitos para uso personal:
ZoneAlarm
http://www.vsantivirus.com/za.htm
Outpost Firewall
http://www.protegerse.com/outpost/
Kerio Personal Firewall
http://www.beeeeee.net/nautopia/kerio3.htm
En Windows XP, puede utilizar el cortafuegos integrado: Internet
Connection Firewall (ICF)
Para activar ICF en Windows XP, siga estos pasos:
a. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet,
Conexiones de Red.
b. Pinche con el botón derecho del mouse sobre "Conexión de Red de
Area Local" y seleccione Propiedades.
c. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi
red limitando o impidiendo el acceso a él desde Internet".
d. Seleccione Aceptar, etc.
Cortafuegos de pago:
Kaspersky Anti-Hacker
http://www.kaspersky.com/buyonline.html?chapter4564
McAfee
http://us.mcafee.com/root/offer/def...F470%2Easp
Symantec
http://www.symantec.com/sabu/nis/npf/
ZoneAlarm Pro
http://www.zonelabs.com/store/conte...etails.jsp
Tiny Personal Firewall
http://www.tinysoftware.com/home/tiny2?la=EN
Outpost Firewall
http://www.protegerse.com/outpost/
Kerio Personal Firewall
http://www.kerio.com/us/kpf_download.html
BlackICE PC Protection
http://blackice.iss.net/product_pc_protection.php
6. ¿Cómo instalo los parches de Windows?
Los parches MS04-011, pueden ser descargados de los siguientes
enlaces:
Microsoft Windows 2000 SP2, SP3 y SP4
http://www.microsoft.com/downloads/...laylang=es
Microsoft Windows XP and Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/...laylang=es
Solo necesita descargarlos y ejecutarlos en su equipo desconectado de
Internet. Un asistente lo guiará durante el proceso de instalación.
7. No puedo descargar los parches de Microsoft porque mi computadora
se reinicia constantemente.
En caso de que su computadora se reinicie en forma continua, lo mas
probable es que esté infectada por el gusano Sasser. En ese caso
aplique el proceso para borrar manualmente el gusano como se indica en
las siguientes descripciones:
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm
W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm
Luego active al menos el cortafuegos integrado (en el caso del XP),
antes de conectarse para descargar los parches mencionados.
8. ¿Qué hago si mi computadora ya está infectada por el gusano Sasser?
En este caso usted debe verificar que su antivirus esté actualizado y
ejecutar un escaneo completo a todos sus discos.
9. Ya quité el gusano Sasser pero mi computadora se vuelve a infectar.
Los procedimientos de limpieza, sirven justamente para eso, "limpian"
o remueven el gusano del equipo infectado, pero no lo protegen de
ataques posteriores. Usted deberá aplicar los parches de Microsoft, y
seguir las recomendaciones ya explicadas (antivirus al día,
cortafuegos, etc.).
10. ¿Porqué si he quitado el gusano, aún me piden que debo formatear
mi equipo?
Este gusano crea un shell (una consola de comandos), que puede
permitir el ingreso de casi cualquier tipo de instrucción que
comprometa a nuestro sistema. También abre un servidor FTP que permite
el acceso a cualquier archivo. Y no hay nada que nos asegure que por
borrar al Sasser de nuestro sistema, nos libraremos de la posibilidad
de que alguien haya dejado otro regalo en nuestra computadora.
Por otra parte, no hay forma de saber cuántas modificaciones del
exploit del que se vale el gusano (en realidad utiliza dos), están
dando vueltas por Internet, y cuantas formas maliciosas pueden llegar
a crearse a partir de los mismos.
Por ello, detectar una infección con el gusano Sasser, ameritaría no
solo la limpieza del sistema infectado, sino la completa reinstalación
del mismo (y posterior actualización de los parches e instalación o
activación de un cortafuegos), como única forma de asegurarnos contra
las posibles consecuencias.
La infección con el Sasser debe ser tomada como una señal de alarma.
Si ocurre, hay que seguir estos pasos:
a. Borrar el gusano como se indicó antes.
b. Respaldar la información importante (no los programas)
c. Formatear nuestros discos para asegurarnos de que el sistema está
limpio realmente, y reinstalar el sistema operativo y todos los
programas.
d. MUY IMPORTANTE: instalar el parche correspondiente, y activar un
cortafuegos, además de mantener al día nuestros antivirus.
Relacionados:
El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm
W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm
W32/Sasser.C. Variante recompilada del Sasser.A
http://www.vsantivirus.com/sasser-c.htm
W32/Sasser.D. Nueva variante del gusano
http://www.vsantivirus.com/sasser-d.htm
Leer las respuestas