Hash: SHA1
Como ya casí todo el mundo sabe, el virus sasser es un gusano que para
propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso
LSASS (Local Security Authority Subsystem). Sólo afecta a equipos
Windows 2000/XP y Windows Server 2003 sin actualizar. El virus sasser
actuará de scanner en el equipo afectado para detectar la posibilidad
de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso tráfico de salida
provocado precisamente, por este escaneo.
Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.
Estimo que estos síntomas serán variables, el aviso de reinicio podría
desaparecer en cuanto su código se perfeccione, con lo cual el único
síntoma que nos quedaría sería el tráfico en los puertos antes citados,
los pasos para desinfectarlos, recomendados por las diferentes casas de
antivirus son los siguientes:
1. Bajar el parche MS04-011 de la web de Microsoft.
2. Desconectar el PC de la Red.
3. Ejecutar el parche MS04-011.
4. Eliminar los arhivos avserve.exe y win.log del directorio de Windows
y el raíz respectivamente.
5. Acceder al registro de sistema mediante la ejecución del regedit (
Menú Inicio, Ejecutar, Regedit ).
6. Buscar la entrada creada por el Sasser.A ( Edición, Buscar: avserve)
y eliminarla ( Edición, Eliminar).
7. Sólo para usuarios de Windows XP, desactivar la herramienta de
Restaurar Sistema ( Menú Inicio, Panel de Control, Sistema, Lengueta:
Restaurar sistema, marcar la casilla: Deshabilitar Restaurar sistema ).
8. Instalación de un Firewall. En el caso de Windows XP o 2003 puede
recurrirse al Firewall propio. ( Menú Inicio, Panel de Control,
Conexiones de Red, Propiedades de la conexión principal, Lengueta:
Avanzadas, marcar la casilla: Proteger mi equipo y mi red limitando o
impidiendo el acceso a él desde Internet ).
Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual que el blaster, es
una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente rootkit. En este
punto, y dada la importancia que tiene la instalación de un rootkit,
cabe definir que es exactamente esta herramienta. Con este nombre
definimos básicamente una herramienta de ocultación de servicios,
conexiones, etc, etc... Un rootkit suele ir ligado a un troyano, es
decir, el troyano es la herramienta para manejar el sistema y el rootkit
la herramienta para ocultarlo.
Hay que resaltar que la instalación de un troyano, siempre que contemos
con los servicios de un antivirus actualizado no es sencilla, ya que la
mayoría detectará un intento de infección.
Está claro que si se nos ha instalado el sasser, no contamos con las
herramientas básicas de seguridad en un sistema, es decir, firewall,
antivirus y sistema parcheado y actualizado, la pregunta que cabe
hacernos es: ¿Podemos recuperar nuestro sistema sin formateo?, ¿si
formateamos nuestra máquina estará segura?. Estás son preguntas
controvertidas, al respecto cabe decir, que ni Microsoft ni ninguna casa
de antivirus, recomienda el formateo como medio para recuperar un
sistema. Yo no soy partidario de esta solución ya que, lo veo demasiado
drástico, pero... hay que tener en cuenta nuestra situación mi postura
es que cualquier sistema es recuperable, sin necesidad de formateo.
Poniéndonos de cara a un usuario doméstico, cabe decir que quizas la
solución no sea del todo desacertada. Pero, creo, que habría que mirar
el caso específico de cada usuario. Una vez infectados por el sasser,
debemos valorar si la recuperación del sistema es más rentable (en
cuanto a tiempo) que la recuperación del sistema.
Naturalmente el formateo no es solución, si no aprendemos la lección:
1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes parches.
Como conclusión, resaltar que no es aconsejable en absoluto recomendar
el formateo como norma general y recordar que la casa de Antivirus Panda
ha desarrollado una herramienta para desinfectar el PC y recuperarlo a
su estado anterior. Esta solución, sin ser tan drástica como el formateo
podría servir para solventar el problema que se plantea con la infección
de tan peligroso virus, la valoración, como norma general la debería
hacer el usuario, sin imposiciones, cada caso puede ser un mundo, por lo
que estandarizar el problema podría ser hasta peligroso.
Enlaces relacionados
http://www.pandasoftware.es/home/default.asp
saludos
Leer las respuestas