No entiendo... ¿Quién me infectó con el sasser?

A ver, esto ya no lo entiendo...

Anoche terminé de instalar W2000Pro, le puse el SP4 que tenía en un CD y configuré la conexión a internet (proveedor: ARNET HighWay). Me conecté a internet mediante el ícono de acceso, sin abrir NINGUN SITIO. Luego le doy click al "windows update" ubicado en el menú de inicio. Se abre el sitio windows update, le digo que si a las veintipico de actualizaciones de seguridad y cuando iba bajando 2MB de 19 MB, me salta el puto cartelito que avisa que la PC se reiniciará en pocos segundos (el sasser, si mal no recuerdo)

Bien, explicado lo ocurrido, les pregunto... ¿cómo demonios es posible que me infecte así porque sí? No entré a ningún sitio que me pueda haber mandado el virus, no recibí ningún mail, no inicié sesión en ningún mensajero, no ejecuté ningún archivo (todavía no tenía instalado el antivirus) ni nada de nada. La única "comunicación" que hubo fue entre esa PC, el proveedor de internet y el sitio de windows update.

Ahora voy con el segundo caso: Hace cosa de un mes y medio o dos meses, hice exactamente lo mismo con mi PC y no ocurrió absolutamente nada. No voy a detallar lo que hice en esa oportunidad porque ya lo he dicho dos párrafos más arriba. Lo mismo (ah, el proveedor de internet también es el mismo)

Entonces, digo yo... será que las redes del proveedor de internet están infectadas y son ellos mismos los que infectaron esa pc anoche? (y no la mía en esa oportunidad porque "supongo" que la infección fue posterior al caso de mi PC)... Es la única explicaci´n que le encuentro!

Si hay otra explicación, favor de comentármela!!

Saludos y gracias

El tema del Sasser es que es un gusano de internet y la función de estos es la de reproducirse por la red y contagiando miles de sitios diariamente.

También han salido algunas variantes nuevas de este y otros gusanos que prácticamente cumplen las mismas funciones y usan la mima vulnerabilidad, como Korgo, boax y otros.

Para eliminarlo:

Cuando te aparezca el mensaje tenes que poner shutdown -a o directamente atrasar unos dos horas el reloj, con esto paras el reseteo y te podes descargar las vacunas y los parches.

Antes de empesar tenes que poner los parches que es lo mas importante
El parche fundamental es este y no estoy seguro si ya lo incluye el SP4 de win 2000
Parche de seguridad 835732

Parche de seguridad critica para IE

Herramienta para sacar el Sasser de Nod32

Microsoft Sasser A-F Worm Removal Tool 4.0

Salu2
El Piedra

Bárvaro, elpiedra (y gracias por los enlaces). Pero la pregunta estaba dirigida (tal vez no fui muy claro) a que me digan:

1- Visto el caso, si: tu proveedor es el culpable.
2- No, no tiene nada de culpa tu proveedor, esto es así porque... simplemente porque si.

A mi me parece que la respuesta debe ser la número 1, aplicando la lógica de un burro en cuestiones de seguridad, redes y bichos.
Y digo eso porque si la respuesta es la número 2, la única que me queda para pensar es que absolutamente todo el tráfico de interner (TODOS los paquetes de información que uno recibe), independientemente del sistema operativo, parches, etc; viene con este gusano adosado... o sea que no importa si uso linux o si tengo mi windows parcheado... si me conecto a internet, al solicitar por ejemplo google.com ¿los paquetes que me llegan tienen el gusano attachado y sólo me debo preocupar de ello si tengo win sin el parche correspondiente?

En Perú hay un servicio parecido llamado cable modem... en alguna oportunidad me sucedió algo muy similar a lo tuyo... ya que con esta conexion el equipo automáticamente (sin mover un dedo) luego de ser formateado e instalado el s.o. (WinXp Pro) detecta la red y se "autointegra" a la red de mi ISP... como por arte de magia,

Lo interesante de esto es que te libera del trabajo de drivers para el modem y los IPs, pero al igual que tu al actualizar los parches, catabum! y luego de instalar el antivirus (AVAST!) me detectaba un virus luego de reiniciar el equipo.

De igual manera no hice acceso a ningún web, salvo para la actualizacion de los dats del antivirus (que automáticamente lo hace sin necesidad visitar alguna web) y lo más curioso de todo... burlando mi firewall también (Zone Alarm en free), por lo que pude asumir que el contagio vino desde mi ISP, pasé el ad aware, lo eliminaba pero al reiniciar seguía con la misma cantaleta.

El nombre del virus no lo recuerdo... pero no era sasser... se puede asumir que el virus viene desde el ISP...

Al Zuwaga, a mi me pasó lo mismo.
Lo solucione cambiando la IP de mi equipo. Por lógica es imposible el contagio, opino lo mismo que tú. Yo pienso que este gusano almacena información de los equipos infectados, IP, clave y password, etc.. y que en el momento en que el equipo tiene acceso a Internet, recibe la orden de instalación del gusano automáticamente.
No encuentro otra respuesta, si alguien sabe por donde van los tiros que nos saque de dudas...
Un saludo

La culpa no la tiene el proveedor. Tu su instalas un equipo, con conexión a internet sin los parches necesarios, y sólo, activas la conexión, puede que te llegué el blaster,sasser o lo que sea.

Solución, instala los parches rápidamente, y mejor si tienes un firewall instalado y un antivirus antes de nada.

Pero el isp no tiene culpa. Si no, todos serían culpables.

Exactamente el solo echo de conectar tus cables de internet y activar tu cuenta sin los respectivos parche de seguridad o algún cortafuegos ya implica que se te pueda meter cualquier tipo de gusano de internet.

Lo de echarle la culpa a tu proveedor es medio complicado ya que este lo que hace es darte el servicio para que estés en la red pero en el caso por ej de Sasser este no es que este en una pagina en particular como pasa con los spywares sino que esta en toda la red.

Otra cosa es que ni siquiera tenes que abrir el IE para infectarte ya que este se vale de una vulnerabilidad de tu sistema operativo en este caso Windows y no por una del IE por lo tanto solo con conectarte (y si abrir el navegador ya te podes infectar.)

Las siguientes versiones de Windows son vulnerables al ataque del Sasser:

Windows 2000 SP2, SP3 y SP4
Windows XP y Microsoft Windows XP Service Pack 1
Windows XP 64-Bit Edition Service Pack 1
Windows XP 64-Bit Edition Version 2003

No son vulnerables:

Windows NT Workstation 4.0 Service Pack 6a
Windows NT Server 4.0 Service Pack 6a
Windows NT Server 4.0 Terminal Server Edition SP6
Windows Server 2003
Windows Server 2003 64-Bit Edition
Windows 95, 98, 98 SE y Me

En conclusión no importa que ISP uses si no tenes los parche en tu sistema o un firewall activo se te va a colar algún gusano.

Salu2
El Piedra