[Seguridad] Virus sasser consideraciones

07/05/2004 - 14:13 por fermu | Informe spam
Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un gusano que para
propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso
LSASS (Local Security Authority Subsystem). Sólo afecta a equipos
Windows 2000/XP y Windows Server 2003 sin actualizar. El virus sasser
actuará de scanner en el equipo afectado para detectar la posibilidad
de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso tráfico de salida
provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de reinicio podría
desaparecer en cuanto su código se perfeccione, con lo cual el único
síntoma que nos quedaría sería el tráfico en los puertos antes citados,
los pasos para desinfectarlos, recomendados por las diferentes casas de
antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del directorio de Windows
y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución del regedit (
Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición, Buscar: avserve)
y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la herramienta de
Restaurar Sistema ( Menú Inicio, Panel de Control, Sistema, Lengueta:
Restaurar sistema, marcar la casilla: Deshabilitar Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP o 2003 puede
recurrirse al Firewall propio. ( Menú Inicio, Panel de Control,
Conexiones de Red, Propiedades de la conexión principal, Lengueta:
Avanzadas, marcar la casilla: Proteger mi equipo y mi red limitando o
impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual que el blaster, es
una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente rootkit. En este
punto, y dada la importancia que tiene la instalación de un rootkit,
cabe definir que es exactamente esta herramienta. Con este nombre
definimos básicamente una herramienta de ocultación de servicios,
conexiones, etc, etc... Un rootkit suele ir ligado a un troyano, es
decir, el troyano es la herramienta para manejar el sistema y el rootkit
la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano, siempre que contemos
con los servicios de un antivirus actualizado no es sencilla, ya que la
mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no contamos con las
herramientas básicas de seguridad en un sistema, es decir, firewall,
antivirus y sistema parcheado y actualizado, la pregunta que cabe
hacernos es: ¿Podemos recuperar nuestro sistema sin formateo?, ¿si
formateamos nuestra máquina estará segura?. Estás son preguntas
controvertidas, al respecto cabe decir, que ni Microsoft ni ninguna casa
de antivirus, recomienda el formateo como medio para recuperar un
sistema. Yo no soy partidario de esta solución ya que, lo veo demasiado
drástico, pero... hay que tener en cuenta nuestra situación mi postura
es que cualquier sistema es recuperable, sin necesidad de formateo.
Poniéndonos de cara a un usuario doméstico, cabe decir que quizas la
solución no sea del todo desacertada. Pero, creo, que habría que mirar
el caso específico de cada usuario. Una vez infectados por el sasser,
debemos valorar si la recuperación del sistema es más rentable (en
cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes parches.


Como conclusión, resaltar que no es aconsejable en absoluto recomendar
el formateo como norma general y recordar que la casa de Antivirus Panda
ha desarrollado una herramienta para desinfectar el PC y recuperarlo a
su estado anterior. Esta solución, sin ser tan drástica como el formateo
podría servir para solventar el problema que se plantea con la infección
de tan peligroso virus, la valoración, como norma general la debería
hacer el usuario, sin imposiciones, cada caso puede ser un mundo, por lo
que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos
 

Leer las respuestas

#1 EvilAngel
07/05/2004 - 15:17 | Informe spam
Esta claro q el formateo deberia ser el ultimo recurso a usarse. A
nadie se el obliga a llegar a ese extremo, en este medio hay varios
tipos de usuarios, aquellos q mantienen su equipo al dia, actualizando
antivirus, su programas varios, los q usan el windows update, los q se
informan de manera digital o analoga de los cambios en la informatica,
aquellos q realmente les interesa APRENDER. Por desgracia no todo es
color de rosa, estan aquellos usuarios q compran una pc, con la unica
funcion de estar metidos en el chat, no digo q eso sea malo, no, yo
mismo he estado ahi... el problema radica en: no les interesa
aprender, ni estar enterados de la nuevas tecnologias, ni los nuevos
programas, no se enteran si hay alerta mundial por algun nuevo virus
diseñado con acabar con la raza humana... les preocupa mas si hay
alguna nueva chica en el chat, conseguir su foto, aunq no sea de ella,
aquellos q solo dan click sin pensar en las consecuencias, aquellas q
descargan cuanta marranada se les ponga en frente, aquellos q instalan
dialer a diestra y siniestra y quieren demandar a Microsoft, Symantec,
etc, por sus propias estupices. Recuerdo q alguien me pidio a lo
ayudara con su pc por q estaba muy lenta, cuando le pase el Ad-Aware,
encontre en la pc, todos los spyware q habidos y por haber en su pc y
el ni siquiera sabia como se habia metido, solo recordaba haber dicho
q si a todas las ventanitas q se abria con tal de q ya no lo
molestara. Abria cuanto correo le llegara al buzon, en fin... es a
esta clase de usuarios a los q realmente se les esta recomendando
llegar a este extremo, aquellos usarios domestico y empresariales q
son IRRESPONSABLES, los miles y miles de problemas q surgen por una
infeccion viral a nivel goblal, no es por q Windows tenga una puerta
abierta, ni por q existan los hackers q pasan la vida buscando errores
en todos los programas, ni por q existan crackers reventando sistemas,
es la IRRESPONSABILIDAD de miles de usuarios, sin descartar uno q otro
Ingeniero o Licenciado en Sistemas.

Me costan el tiempo q ocupa instalar un sistema desde cero, lo he
vivido en carne propia y en las de mis clientes, pero es lo mas sano y
al final resulta mejor. Pero hay quienes no aprenden, ni aprenderan.

Instalar un SO sobre un sistema tocado, es trabajar doble, por q el
sistema volvera a fallar y la molestia del usuario sera el doble, y no
hablemos q a muchos les podria costar el trabajo si la pc es del
patro.


Al final, cada usuario es resposable de su pc y tiene la ultima
palabra.

Saludos...


On Fri, 07 May 2004 14:13:49 +0200, fermu
wrote:

Hash: SHA1

Como ya casí todo el mundo sabe, el virus sasser es un gusano que para
propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso
LSASS (Local Security Authority Subsystem). Sólo afecta a equipos
Windows 2000/XP y Windows Server 2003 sin actualizar. El virus sasser
actuará de scanner en el equipo afectado para detectar la posibilidad
de infectar a otro equipos que no tengan cubierta la citada
vulnerabilidad con lo cual detectaremos un intenso tráfico de salida
provocado precisamente, por este escaneo.

Los síntomas de la infección son:
Aviso de reinicio del equipo en 1 minuto.
Tráfico en los puertos TCP 445, 5554 y 9996.

Estimo que estos síntomas serán variables, el aviso de reinicio podría
desaparecer en cuanto su código se perfeccione, con lo cual el único
síntoma que nos quedaría sería el tráfico en los puertos antes citados,
los pasos para desinfectarlos, recomendados por las diferentes casas de
antivirus son los siguientes:

1. Bajar el parche MS04-011 de la web de Microsoft.

2. Desconectar el PC de la Red.

3. Ejecutar el parche MS04-011.

4. Eliminar los arhivos avserve.exe y win.log del directorio de Windows
y el raíz respectivamente.

5. Acceder al registro de sistema mediante la ejecución del regedit (
Menú Inicio, Ejecutar, Regedit ).

6. Buscar la entrada creada por el Sasser.A ( Edición, Buscar: avserve)
y eliminarla ( Edición, Eliminar).

7. Sólo para usuarios de Windows XP, desactivar la herramienta de
Restaurar Sistema ( Menú Inicio, Panel de Control, Sistema, Lengueta:
Restaurar sistema, marcar la casilla: Deshabilitar Restaurar sistema ).

8. Instalación de un Firewall. En el caso de Windows XP o 2003 puede
recurrirse al Firewall propio. ( Menú Inicio, Panel de Control,
Conexiones de Red, Propiedades de la conexión principal, Lengueta:
Avanzadas, marcar la casilla: Proteger mi equipo y mi red limitando o
impidiendo el acceso a él desde Internet ).

Los pasos anteriormente mencionados pueden ser suficientes
para la mayoría de los usuarios...
No obstante, hay que recordar que el sasser, al igual que el blaster, es
una puerta que permitirá la entrada
de otros gusanos y troyanos algunos con componente rootkit. En este
punto, y dada la importancia que tiene la instalación de un rootkit,
cabe definir que es exactamente esta herramienta. Con este nombre
definimos básicamente una herramienta de ocultación de servicios,
conexiones, etc, etc... Un rootkit suele ir ligado a un troyano, es
decir, el troyano es la herramienta para manejar el sistema y el rootkit
la herramienta para ocultarlo.

Hay que resaltar que la instalación de un troyano, siempre que contemos
con los servicios de un antivirus actualizado no es sencilla, ya que la
mayoría detectará un intento de infección.

Está claro que si se nos ha instalado el sasser, no contamos con las
herramientas básicas de seguridad en un sistema, es decir, firewall,
antivirus y sistema parcheado y actualizado, la pregunta que cabe
hacernos es: ¿Podemos recuperar nuestro sistema sin formateo?, ¿si
formateamos nuestra máquina estará segura?. Estás son preguntas
controvertidas, al respecto cabe decir, que ni Microsoft ni ninguna casa
de antivirus, recomienda el formateo como medio para recuperar un
sistema. Yo no soy partidario de esta solución ya que, lo veo demasiado
drástico, pero... hay que tener en cuenta nuestra situación mi postura
es que cualquier sistema es recuperable, sin necesidad de formateo.
Poniéndonos de cara a un usuario doméstico, cabe decir que quizas la
solución no sea del todo desacertada. Pero, creo, que habría que mirar
el caso específico de cada usuario. Una vez infectados por el sasser,
debemos valorar si la recuperación del sistema es más rentable (en
cuanto a tiempo) que la recuperación del sistema.

Naturalmente el formateo no es solución, si no aprendemos la lección:

1. Usar firewall
2. Usar antivirus
3. Tener nuestro sistema al corriente de los diferentes parches.


Como conclusión, resaltar que no es aconsejable en absoluto recomendar
el formateo como norma general y recordar que la casa de Antivirus Panda
ha desarrollado una herramienta para desinfectar el PC y recuperarlo a
su estado anterior. Esta solución, sin ser tan drástica como el formateo
podría servir para solventar el problema que se plantea con la infección
de tan peligroso virus, la valoración, como norma general la debería
hacer el usuario, sin imposiciones, cada caso puede ser un mundo, por lo
que estandarizar el problema podría ser hasta peligroso.

Enlaces relacionados

http://www.pandasoftware.es/home/default.asp

saludos



Never its mysteries are exposed, to the weak human eye unclosed... E.A.P.

Preguntas similares