BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

Nuevo Gusano Sasser.A

SpynT

Ha aparecido un nuevo gusano el Sasser.A muy similar al famoso Blaster.

Por lo visto va buscando IPS aleatorias hasta que encuentra sistemas vulnerables, una vez encontrado se copia en el directorio de Windows con el nombre de AVSERVE.EXE también modifica el registro.

Provoca un desbordamiento de buffer y un fallo en LSASS.EXE, que puede provocar un reinicio del equipo.

Para evitar la infección conviene bajarse este parche:

(link roto)

Para más información visitar la pagina de Panda Software.

No solemos publicar reportes de virus (no acabaríamos nunca! ;D), pero puesto que varios usuarios están pidiendo ayuda por errores de lsass.exe en foros, y la vulnerabilidad parece nuevamente mayúscula, la publicación puede ayudar a la red (y a los usuarios, por supuesto ;)). El bulletin cita como afectados a todos los Windows.

💬 Comentarios

1
IronMaiden

Desde luego es peligroso este Sasser y infecta muy deprisa, pero hoy 1/05/2004 ha salido Sasser.B :S y se infecta mucho mas rapido, (o almenos eso veo yo, pues he sido infectado y muchos contectos del msn tmabien en cambio dl sasser.a aunque haibaleido alguna cosa no me entro). Todo lo que has dicho con el Sasser.B tambien ocurre (aunque a veces AVSERVE.EXE es llamado AVSERV2.EXE (estan en c:/windows) y aunque lo borres manualment reaparece porque en c:/windows/system haty unos exe con esta forma, (numero cualquiera)_up.exe (x ej: 34934_up.exe) y estos, auqnue los borres x MS-DOS (ya que po windows no deja ya que estan siendo ejecutados) luego al reiniciar, reaparecen, yo lo he podido borrar gracieas al Panda Titanium 2004.

Suerte a aquellos que les hay entrado ;)

BocaDePez
BocaDePez

¿kiere esto decir ke este parche para el sasser es uno de los ke hay ke guardar en un disco como hay ke hacer con el del blaster en el caso de ke formatees el ordenata para poder enchufarte a internet y bajar los updates del win ANTES de ke te entre?

lo pregunto mas ke nada porke si este parche ya venia en el pack de abril como parece ke han dicho por ahi, eso esta genial y tal si ya lo tienes instalado, pero ke pasa al formatear, ¿hay ke guardar este parche bajo llave como el del baster?

alguien puede arrojar luz sobre semejante asunto? :P

🗨️ 3
BocaDePez
BocaDePez

tienes ono ?

esa puede ser una de las razones.

Mistico

Antes de conectarte por primera vez, actívalo. No sirve mucho a rasgos generales pero te protegerá lo justo para que consigas los parches de Win Update

🗨️ 1
yatique

Yo el sabado a las 7 de la mañana mire en panda y no habia nada, pase la conexion al otro equipo y cayo a la 1º, meti un firewall cutre y au. Sin problemas.

Mistico

Anda que si me sale el cartelito habría tardado un rato en pisparme :P

BocaDePez
BocaDePez

Comentar que si, que es un parche como el del blaster es decir si formateas y conectas a internet sin ponerlo vuelves a coger el Sasser. Yo personalmente ya tengo 6 parches guardados para Blaster, Nachi y Sasser, que lo he cogido hoy (de los primeritos oche, jeje). Por si sirve de ayuda lo he eliminado primero instalando el parche, luego pasandole el antivirus y borrando los archivos infectados y quitando la entrada del registro para que no se ejecute en cada inicio.
Finalmente comentar que a pesar de que en la web www.alerta-antivirus.es lo califican como de peligrosidad baja, a mi me ha inutilizado el pc totalmente no podia ejecutar ningun programa y no me respondia el sistema para nada mientras que me daba continuos errores de que no habia memoria virtual suficiente. Tb me ha provocado un reinicio al mas puro estilo Blaster. Ánimo y duro con él!

🗨️ 6
BocaDePez
BocaDePez

ok ya he guardao el parche del saser por aki, tengo alguna pregunta mas: ¿alguien sabe de alguna peich donde tengan esos parches de seguridad para megagusanos apokaliptikos para despues de formatear?..... porke si existiera semejante lugar, seria la poia y tal.... vamos ke kitas el cable, formateas, chutas el servis pak1, chutas los parches antigusanos, enchufas interné, chutas el windous update y luego al libre albedrio.....

yo formatee un ekipo hace poko y meti el del blaster y otro ke tengo a parte de ese dia pero ke no se ke es :P, ese del nachi tb es necesario?

¿alguein ha verificado si la solucion de arriba ke alguien comenta sobre el firewall de windous y estos gusanos realmente funciona?....... porke si funciona nos ahorrariamos los parches nada mas instalarlo, y la putada de olvidarte el cable y pillar el blaster nada mas instalar.....

🗨️ 5
BocaDePez
BocaDePez

Duele a los ojos y dejas de leer a la mitad

OriSHiZ

...Puedes crear un CD que venga directamente con los Services Packs y los parches de Microsoft ya incluidos, asi cuando vayas a instalar por primera vez el XP después de, por ejemplo, formatear el pc, no tendras que ir parche por parche ni estar descargando de nuevo todo.

La explicación paso a paso para crear este CD Booteable está en (link roto) , aqui explica como meter los SP. Y como integrar los parches aparece aquí (link roto)

Está en castellano.

🗨️ 3
BocaDePez
BocaDePez

He leido la web y esta muy bien, pero como metes los parches? solo te explica meter el SP1, pero no lo parches, o es k no lo he cogido bien.

OriSHiZ

se me fue el dedo con el enlace.

🗨️ 1
BocaDePez
BocaDePez

Muchas gracias tio, no he podido responderte por k estao todo el dia fuera

BocaDePez
BocaDePez

Es increible, es la 1º infección que tengo en 6 años, pero si tengo el Sygate bien configurado!!...me salvé del Blaster, pero de este no. Uso el Norton, al reiniciar el ordenador me lo detectaba, pero no lo podía eliminar, he tenido que quitarlo del registro, reiniciar, y entonces ya si que ha podido quitarlo el norton haciendo un escanéo (el auto-protect del norton no lo ha detectado, aunque seguía en disco).

¿Cómo han reaccionado vuestros antivirus?...el Norton me ha decepcionado bastante. ¿qué tal con el Panda?

Me ha sorprendido mucho es gusano....pero ¿cómo me ha podido infectar?, si paso todos los scaners bien...en fin

Saludos

🗨️ 3
negora

¿Lo tenías actualizado? Lo que está claro es que en los tiempos que corren, disponer de un antivirus pero nó de un firewall es una temeridad. Yo uso Kaspersky AVP de antivirus y Kerio Personal Firewall y este último ya me ha alertado de que LSSA estaba tratando de hacer un movimiento "rarito". Te recomiendo ambos programas. Yo antes era un enamorado de Norton Antivirus, pero aunque AVP flaquea en el escaneo de Outlook Express (no incluye un módulo individual para éste), el resto de características compensa y mucho. Suerte ;) .

PussyLover

El mio no ha reaccionado simplemente, ya estaba parcheado. Esto pasa porque la gente se descuida de estas cosas, ya que el parche existia antes de que saliera este nuevo virus. Luego dicen que toda la culpa es de Microsoft, claro claro ;)

🗨️ 1
BocaDePez
BocaDePez

Si pues ayer me paso a mi cuando kite el firewall pq sino no podia hacer de servidor para jugar en red (no se pq no podian conectarse si le habia dao permisos) y me salio el cartelote ese. Utilice el fantastico windows update, me puse los parches q me decia q necesitaba, reinicie, quite el firewall para probar y tarari q te vi x el culo te di :D Otra vez el cartelote

Cthulhu

La actualización para el sasser que esta en microsoft microsoft.com/es-es sustituye a la publicada anteriormente (link roto)

Asi que si teneis esta ultima descargada, para una instalación posterior o la instalación en otro equipo la podeis borrar (que no desintalar)

Cthulhu

Eso creo que es obvio, tampoco le afecta a mi móvil con symbian, a mi spectrum 128K, a mi Casio PB-1000...

Comentario fuera de lugar para volver al debate anti-windows :-/

🗨️ 6
janesco

En casos similares a este no es raro que salga un linuxero diciendo que la mejor cura a este virus es pasarse a linux, o algo similar. Lo hacen en la mayoria de los casos: problema con el explorer, usa mozilla; problema con ... pasate a linux.

Ya sabemos que linux tiene ciertas ventajas frente a windows, no hace falta que nos lo restregueis de continuo, eso no os hace ser mas listos precisamente.

saludos :)

🗨️ 5
nolssi

Pero lo dejas a huevo.

Precisamente, por eso nos hace mas listos, porque sabemos pasar de pseudo sistemas operativos

🗨️ 4
BocaDePez
BocaDePez

xD

Voy por las palomitas, en estos flames siempre se dicen muchas tonterias y acabas de empezar tu. Aun estoy riendome, que bueno...

🗨️ 1
nolssi
BocaDePez
BocaDePez

Si eres tan listo que haces perdiendo el tiempo con tontos como nosotros? Si sabes que no aprenderemos?

Uno con complejo de monjita misionera...

🗨️ 1
nolssi
BocaDePez
BocaDePez

Cuanto bocazas listillo...

coolkamio

No veis el XD?

Sois tos más susceptibles..

"Pero lo dejas a huevo.

Precisamente, por eso nos hace mas listos, porque sabemos pasar de pseudo sistemas operativos"

Ke me parto XDDDDDDD

"xD
Voy por las palomitas, en estos flames siempre se dicen muchas tonterias y acabas de empezar tu. Aun estoy riendome, que bueno..."

Juas juas juas XDDDDDDD

BocaDePez
BocaDePez

Creo que va a superar al Blaster en propagación.....

MaX

El proceso generado por avserve.exe empieza a comerse memoria y consumo de CPU.

Si no os deja hacer nada el dichoso gusano, matad el proceso (Ctrl+Alt+Supr -> avserve.exe -> Terminar proceso) y parchead o lo que haga falta.

Suerte.

🗨️ 2
BocaDePez
BocaDePez

Pues eso, que he descubierto el fichero avserve2.exe en un pc dando por culo, tras parchearle el windows el norton actualizado dice que el fichero en cuestion no es un virus, es decir parece una mutacion. Y otra cosa cachonda es que cuando te infecta hay un monton de direcciones como symantec a las cuales no se pueden acceder, de esta manera no te deja actualizar el antivirus. Haces un ping a www.symantec.com y te responde la ip 127.0.0.1 , es decir tu mismo.

🗨️ 1
piezas

Igual lo ha modificado. Está en

windows\system32\drivers\etc\

Se puede abrir y editar con el block de notas. Ojo, no borrar la línea "127.0.0.1 localhost ", pero sí las que contengan esa IP asociada a una dirección de Internet, si no las metiste tú.

Un saludo,
~piezas

DrMuehehe

Por favor, la gente que no se duerma en los laureles y que se ponga al día con los parches. Así se ahorrará muchos dolores de cabeza (o la mayoría).

BocaDePez
BocaDePez

He mirado los procesos que estan funcionando y los que se cargan al iniciar (lo he mirado en el registro) y no hay ni rastro de procesos sospechosos. En c:\windows tampoco hay ningun fichero correspondiente a este virus.

Hace falta estar infectado o puede saltar el error en lsass a traves de algun exploit remoto distinto? Porque hasta que puse el parche (ahora ya no), saltaba el error y trastocaba la conexion (se volvia muy inestable), pero ahora ya no y, repito, ni rastro de virus.

🗨️ 4
Hackett

Ayer por la mañana se me apagaba el ordenador, y actualicé ese parche. La consecuencia fue que dejó de arrancarme el Win 2k SP4. Esto ya me había ocurrido con otro parche del año pasado, motivo por el cual dejé de bajarme los parches. Gracias al ERD 2003 logré parar un de lso servicios (IPSec , o algo así) y logré que volviera a arrancar.
Ahora, no me vuelve a salir la ventanita de los 30 segundos antes del apagado, y todo parece que va bien, pero le he pasado el "pqremove" de Panda, y no encuentra rastros del virus, y tampoco encuentro el fichero avserver.exe, ni procesos raros... ¿Realmente no estaba infectado y sólo estaba siendo "atacado" externamente aprovechando la debilidad?

🗨️ 3
Hackett

El Norton Antivirus no es capaz de actualizarse. Le he reinstalado el "Live Update", pero me sigue dando error... Me temo que voy a tener que volver a reinstalarlo entero...

🗨️ 2
BocaDePez
BocaDePez

(link roto)

🗨️ 1
Hackett

Miré en el archivo de hosts, y estaba correcto.
He borrado otra vez el LiveUpdate, y me he bajado la última versión de la web de Symantec. Ahora ya va correctamente.

BocaDePez
BocaDePez

Ayer (después de ver el Depor-B vencer al RM) se me apagaba el windows XP (el AUTHORITY/SYSTEM, me salía y se apagaba al minuto), hoy no arranca esa partición ¿?.

Desde otra partición (W2000) noto que el sistema update de MS no me permite actualizar por un error.

Estoy bajando varios parches tanto para W2000 como XP, pero quisiera saber si hay ya algún antivirus disponible (mejor gratuito) para no tener que estar bajándome y probando.

¿El ActiveScan de Panda podrá hacer algo?

Saludos y suerte.

¿Cómo se me habrá ocurrido borrar la partición de Linux/Mandrake la semana pasada?, Gili...

🗨️ 4
OriSHiZ

Bajate de la web de panda la utilidad de reparación en PandaSoftware y cuando hayas quitado el virus, instala el parche que suministra Microsoft.

Creo que si no da tiempo a bajarte la utilidad de reparación puedes matar el proceso como en el Blaster y asi no te reiniciará el pc. Además por ahí dice que si el antivirus te desinfecta el fichero pero que vuelve a aparecer en la carpeta de _restore, lo que debes hacer es entrar en propiedades de Mi Pc y en Restaurar sistema desactivas las casillas de Desactivar restaurar sistema o Desactivar restaurar sistema en todas las unidades. Y ahora es cuando pasas el antivirus.

🗨️ 1
BocaDePez
BocaDePez

No se me reinicia porque utilizo otras particiones, seguiré tus pasos a ver que tal.

BocaDePez
BocaDePez

El Panda Active Scan me lo ha encontrado en:

E:\WINDOWS\avserve2.exe E:\WINDOWS\system32\10152_up.exe

E:\WINDOWS\system32\21891_up.exe

E:\WINDOWS\system32\8121_up.exe

Dice que es:

Virus:W32/Sasser.B.worm
Y dice que me ha desinfectado, ahora a ver... los parches de MS y ver que tal ¿no?

Duro con él. ¡qué dominguito!

🗨️ 1
OriSHiZ

De McAfee Security

[...] Manual Removal Instructions
To remove this virus "by hand", follow these steps:

  1. Reboot the system into Safe Mode (hit the F8 key as soon as the Starting Windows text is displayed, choose Safe Mode.
  2. Delete the file AVSERVE.EXE from your WINDOWS directory (typically c:\windows or c:\winnt)
  3. Edit the registry
    • Delete the "avserve" value from
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
        Windows\CurrentVersion\Run
  4. Reboot the system into Default Mode.

Está claro no? Reinicio en modo seguro con F8, borrar el archivo AVSERVE.EXE del directorio de Windows y editar el registro borrando la entrada de avserve en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run y reiniciar. Ahora es cuando no se reinicia y puedes descargar el parche o actualizar el antivirus, etc..

BocaDePez
BocaDePez

tengo tres ordenadores, uno siempre conectado al cable, otro "virgen" no lo conecto nada más que al enchufe de la electricidad y un tercero con el que hago experimentos, pues bien, con este ultimo, cogí y le metí un xp profesional, sin services packs, ni updates y sin ningun programa.

Primero de todo para este experimento, hago un punto de restauración del sistema cuando esta "virgen".

lo conecté al cable-modem y no tardó ni tres minutos cuando me apareció un hermoso cartelón que en inglés me advertía de que mi sistema operativo no estaba actualizado y que necesitaba hacer "noseque", no me dió tiempo a ver más ya que se cerró el sistema operativo y cada vez que reiniciaba volvía a salir el aviso.

Quito la conexión a la red y reinicio de nuevo, y ya no me aparece el aviso y windows funciona bien, conecto el cable-modem y aparece casí enseguida el aviso y se reinicia de nuevo.

Quito de nuevo la conexión a la red, reinicio de nuevo, voy al punto de restauración donde estaba virgen el xp, activo el firewall del windows xp, conecto el cable-modem y ....

!tachan!, ya no se le ha vuelto a ver el pelo más al cartelito y ya no hay más reinicios.

Osea que la cosa es tan simple como poner un simple firewall.

Obviamente si poneis un antivirus la cosa irá mejor.

Y si ya actualizaís windows, la leche vamos.

🗨️ 1
OriSHiZ

Para saber eso no hace falta hacer experimentos, cualquiera que se mueva por Internet y se haya informado un poquito sabe que estar detrás de un firewall, tener un buen antivirus siempre actualizado y descargar las últimas actualizaciones de todos los programas que se tengan y desde luego instalar los parches y services pack de los sistemas operativos ya sean windows, linux, etc.. es la mejor solución para navegar con seguridad por Internet.

Además contar con un software como el Spybot o el Ad-aware (juntos sin problemas) y por supuesto si es por modem, llamar al proveedor de telefonía que tengamos para que restrinja las llamadas a 906/806/etc; para no tener problemas con dialers, robots espías y/o publicitarios y demás...

Eso y no abrir nunca un archivo o e-mail desconocido sin pasarlo antes nuestro antivirus nos asegura una protección 100%.

BocaDePez
BocaDePez

He estirpado el virus, en mis paticiones w2000 y XP, pero el servicio de actualización de MS no me funciona ¿Está estropeado o es un problema mío?.

Y eso que borro todos los archivos temporales del explorer y coolkies por si fuera eso, pero nada.

¿Es cosa de MS o es cosa mía?, bueno al menos ahora no se me desconecta el PC.

Gracias y saludos.

anthrax

Yo, en septiembre cuando el pc del curro de mi padre se infectó en el blaster, le activé el "peazo" de cortafuegos que lleva el propio XP. Así que cuando veo el aviso de estos "viruses", me entra la risa floja: jisjis...

Saludos 8)
P.D: La conexión del curro es por modem.

🗨️ 13
yatique

Tengo un colega al que le recicle un p 2 400mhz y le puse win98 y me viene to preocupado por esto xDDD y le digo tranquilo con 98 no hay problema y me pregunta tan seguro es? y le digo... NOOOOO es que ya no lo usa nadie y no se molestan en hacer virus para el xDDD

🗨️ 12
OriSHiZ

El gusano Sasser actua en todos los sistemas operativos de windows, tambien en el 98.

Que no le haya entrado todavía a tu amigo no significa que se libre, te recuerdo que no es conectar y 100% te infecta, si no que busca ip aleatorias y si aun no se ha infectado lo mejor es que le recomiendes que entre a las webs que se han dicho en este foro para que pueda bajarse el parche que le corresponda al tener el 98.

🗨️ 11
piezas

La vulnerabilidad afecta a todos los windows, pero el gusano se propaga en sistemas 2k y XP, al menos es la información que había hasta ahora.

un saludo,
~piezas.

🗨️ 10
yatique

Notita de symantec. y McAfee

Also Known As: W32/Sasser.worm [McAfee]

Type: Worm
Infection Length: 15,872 bytes

Systems Affected: Windows 2000, Windows Server 2003, Windows XP
Systems Not Affected: Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT

🗨️ 2
aragornsda

ya que ni siquiera existe el lsass.exe en estos sistemas.

win 98, sin firewall, conectado 15 horas al día y sin el gusano

🗨️ 1
BocaDePez
BocaDePez
OriSHiZ

La actualización del 28 de Abril decía que eran los siguientes sistemas operativos:

  • Microsoft Windows NT® Workstation 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
  • Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 y Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP y Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP 64-Bit Edition Service Pack 1
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Server™ 2003
  • Microsoft Windows Server 2003 64-Bit Edition
  • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) y Microsoft Windows Millennium Edition (ME)

Y la última actualización, la del 3 de Mayo sólo dice Windows 2000, Windows XP.

🗨️ 4
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
1