Nuevo Virus en la Web: Sasser.A

the_anzwer · #1 (**permalink**) 01/05/2004, 19:45

Sasser.A es un gusano que se propaga a través de sistemas afectados por la vulnerabilidad de la aplicación LSASS.EXE (MS04-11).

Sasser.A crea una copia de sí mismo en el directorio de windows bajo el nombre de AVSERVE.EXE.

De igual forma crea la siguiente entrada de registro para asegurar su ejecución en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

avserve.exe = %windir%\avserve.exe

Información de Panda Software

Bendiciones

PatomaS · #2 (**permalink**) 02/05/2004, 04:19

Hola

Ciertamente uno de esos curiosos virus que no hace daño pero jode un montón.

Basicamente se come los recursos del sistema tratando de conectarse a otras computadoras para que, literalmente, lo succionen hasta ellas.

;)

La información de symantec se puede ver aquí

http://securityresponse.symantec.com...sser.worm.html

Y la herramienta para su eliminación está aquí:

http://securityresponse.symantec.com...oval.tool.html

Gracias the_anzwer, ahora tenemos más trabajo que hacer...

je je je

pero mejor pillarlo antes que después...

Felicidad

the_anzwer · #3 (**permalink**) 02/05/2004, 10:25

Cita:

pero mejor pillarlo antes que después...

Muy cierto. El Panda se encuentra en nivel naranja.

Bendiciones

Cain · #4 (**permalink**) 04/05/2004, 01:14

Lo peor de todo es que de repente le da por apagarse, ayer tuve que reiniciar como 5 veces para poder bajar el parche

jesusbet · #5 (**permalink**) 04/05/2004, 12:44

A mi no me ha pasao nada, tengo WinXPpro SP1 y no he descargado el parche o la herramienta para eliminarlo.
¿Es necesario que yo descargue dicha herramienta?

El nivel de alerta de Panda está ahora en Nivel ROJO.
Bendiciones

Cain · #6 (**permalink**) 04/05/2004, 14:01

Por bajar no pierdes nada.

Marval · #7 (**permalink**) 05/05/2004, 03:51

Hola chicos! Me podeis decir cómo entra ese virus en el ordenata, desde alguna pagina, desde el correo o cómo. Es por estar informada, ya que estoy en un sitio en el que el ordenata no es mio, y si lo jodo puedo tener un grave problema. SUSPENDER MIS PRACTICAS.
Gracias

PatomaS · #8 (**permalink**) 05/05/2004, 09:29

Hola

Bueno, hay al menos dos maneras de que entre, pero la más común, es la que el mismo virus ejecuta y es la siguiente:

Supongamos que una máquina de nombre "1", está infectada con el virus y no tiene ningún tipo de firewall, antivirus ni nada de eso, además, el usuario la tiene encendida y está jugando con ella, por lo que no le presta mucha atención por estar concentrado el juego.

Bueno, pues este virus, empieza a lanzar procesos que tratan de conectarse a través de ciertos puertos a ciertas ip o direcciones de máquinas.

A su vez, supongamos que al mismo tiempo están conectados a internet otros tantos usuaiors como el mencionado, esotos usuarios serían los dueños de las máquinas "2" y "3", tampoco tienen antivirus actualizado ni firewall.

El virus probando probando, encuentras las direcciones de estos usuarios 2 y 3, los cuales tienen abiertos los puertos que requiere, así que "zas", se copia o propaga a esas máquinas, pero lo hace de una forma curiosa, en ellas ejecuta un servicio de ftp, el cual sin que nadie se de cuenta,"chupa" al virus original desde 1 hasta 2 y 3.

Una vez en 2 y 3, hace lo mismo.

Como ves, el ejemplo está hecho con pocos usuarios pero la verdad es que hay miles con esas características o características suficientemente buenas como para que se propague por doquier.

Suerte

Felicidad

JefeMaestro · #9 (**permalink**) 05/05/2004, 11:36

Hola¡¡
Aunque tengas el antivrus actualizado como mi caso y el firewall de windows el sasser te entra,yo lo pille el mismo dia q se lanzo y utilize un pequeño truco q ya utilice con el blaster el cual es retrasar la fecha asi la cuenta de reinicio del sistema
se retasara en funcion de lo retrasado asi t dara tiempo para bajarte el parche de seguridad y un pqremove de panda mismo.Por cierto si t entra seguro q t enteras porque es casi imposoble hacer nada ya q al ejecutar los procesos aserver consumen toda la cpu¡¡Saludos

Aisengard · #10 (**permalink**) 05/05/2004, 20:30

Cita:

Mensaje Original por JefeMaestro
Hola¡¡
Aunque tengas el antivrus actualizado como mi caso y el firewall de windows el sasser te entra,yo lo pille el mismo dia q se lanzo y utilize un pequeño truco q ya utilice con el blaster el cual es retrasar la fecha asi la cuenta de reinicio del sistema
se retasara en funcion de lo retrasado asi t dara tiempo para bajarte el parche de seguridad y un pqremove de panda mismo.Por cierto si t entra seguro q t enteras porque es casi imposoble hacer nada ya q al ejecutar los procesos aserver consumen toda la cpu¡¡Saludos

efectivamente, estas en lo cierto!

jesusbet · #11 (**permalink**) 05/05/2004, 20:36

Ñaca-Ñaca... yo no me infecté del Sasser.
Hago un scanneo diario con la utilidad del panda, tenía activado el Firewall de WinXPpro. Me descargué las actualizaciones de WinXPpro. Jejeje, protegido contra la muerte.

Bendiciones

Marval · #12 (**permalink**) 06/05/2004, 00:51

Joer tíos, ya vale, estan infectados hasta los juzgados... Y seguro que hoy toca aquí, en los ayuntamientos, solo una cosa, puede entrar si estoy en esta page???
Tengo miedoooooooooooooooooooooooooooooooooooooooooooooo o
GRACIAS

Cain · #13 (**permalink**) 06/05/2004, 05:55

Da igual donde entres, porque los ordenadores infectados hacen barridos de IP. Si estás conectado y usas un Windows sin parchear, es muy probable que te infectes.

jesusbet · #14 (**permalink**) 06/05/2004, 19:21

Cita:

Joer tíos, ya vale, estan infectados hasta los juzgados... Y seguro que hoy toca aquí, en los ayuntamientos, solo una cosa, puede entrar si estoy en esta page???
Tengo miedoooooooooooooooooooooooooooooooooooooooooooooo
o
GRACIAS

Querido amigo 'Panique'... lamento decirte que ni que te refundas en los lugares mas recunditos (que significa?) del infierno el Sasser te va a coger, a menos que:
-Actualices Windows y bajes el parche.
-Actualices tu Antivirus.
-Analices tu PC por lo menos 2 veces al día.

Bendiciones