Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

Nuevo Gusano Sasser.A

Ha aparecido un nuevo gusano el Sasser.A muy similar al famoso Blaster.

Por lo visto va buscando IPS aleatorias hasta que encuentra sistemas vulnerables, una vez encontrado se copia en el directorio de Windows con el nombre de AVSERVE.EXE también modifica el registro.

Provoca un desbordamiento de buffer y un fallo en LSASS.EXE, que puede provocar un reinicio del equipo.

Para evitar la infección conviene bajarse este parche:

www.microsoft.com/technet/security/bulle … S04-011.mspx

Para más información visitar la pagina de Panda Software.

No solemos publicar reportes de virus (no acabaríamos nunca! ;D), pero puesto que varios usuarios están pidiendo ayuda por errores de lsass.exe en foros, y la vulnerabilidad parece nuevamente mayúscula, la publicación puede ayudar a la red (y a los usuarios, por supuesto ;)). El bulletin cita como afectados a todos los Windows.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    :)

    Yo, en septiembre cuando el pc del curro de mi padre se infectó en el blaster, le activé el "peazo" de cortafuegos que lleva el propio XP. Así que cuando veo el aviso de estos "viruses", me entra la risa floja: jisjis...

    Saludos 8)
    P.D: La conexión del curro es por modem.

      • Cerrado

        BocaDePez BocaDePez
        0

        El gusano Sasser actua en todos los sistemas operativos de…

        El gusano Sasser actua en todos los sistemas operativos de windows, tambien en el 98.

        Que no le haya entrado todavía a tu amigo no significa que se libre, te recuerdo que no es conectar y 100% te infecta, si no que busca ip aleatorias y si aun no se ha infectado lo mejor es que le recomiendes que entre a las webs que se han dicho en este foro para que pueda bajarse el parche que le corresponda al tener el 98.

        • Cerrado

          La vulnerabilidad afecta a todos los windows, pero el gusano…

          La vulnerabilidad afecta a todos los windows, pero el gusano se propaga en sistemas 2k y XP, al menos es la información que había hasta ahora.

          un saludo,
          ~piezas.

          • Cerrado

            BocaDePez BocaDePez
            0
            La actualización del 28 de Abril decía que eran los…

            La actualización del 28 de Abril decía que eran los siguientes sistemas operativos:

            • Microsoft Windows NT® Workstation 4.0 Service Pack 6a
            • Microsoft Windows NT Server 4.0 Service Pack 6a
            • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
            • Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 y Microsoft Windows 2000 Service Pack 4
            • Microsoft Windows XP y Microsoft Windows XP Service Pack 1
            • Microsoft Windows XP 64-Bit Edition Service Pack 1
            • Microsoft Windows XP 64-Bit Edition Version 2003
            • Microsoft Windows Server™ 2003
            • Microsoft Windows Server 2003 64-Bit Edition
            • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) y Microsoft Windows Millennium Edition (ME)

            Y la última actualización, la del 3 de Mayo sólo dice Windows 2000, Windows XP.

                • Cerrado

                  BocaDePez BocaDePez
                  0
                  hola amigos, soy una victima más del sasser, todo lo que he…

                  hola amigos, soy una victima más del sasser, todo lo que he leido me ha venido muy bien para la particion del XP. pero sobre el win 2000 server no encuentro nada que me pueda ayudar. para empezar el comando "shutdown -a" para cerrar el cartelito no funciona en este windows y aunque le he metido el service pack 4 el jodido sigue asomando el hociko, y por si fuera poco la mayoría de parches y antivirus como el panda platinum 7 no van en este sistema..

                  y la herramienta panda quick remove diseñada por panda para eliminar el sasser dice que no se encuentra... tengo el firewall zone alarm y va muy bien, pero me gustaría desacerme del sasser ( q estará acechando esperando q kite el firewall) alguien puede ayudarme?¿?

                  pd. una vez sale el cartelito si modificamos rapido la hora del pc 2 horas atras por ejemplo el virus nos dara 2 horas y un minuto antes de reiniciarse parece una tontería pero si t ves en el caso en 1 minuto no da tiempo a bajarse un firewall o un parche.....

            • Cerrado

              Al principio cuando sale un virus que afecta a windows se da…

              Al principio cuando sale un virus que afecta a windows se da por hecho que es en todas sus versiones y se pide precaucion para evitar riesgos, pero luego tras comprobarlo han visto que no es asi.

              Solo hay que actualizar la informacion de vez en cuando, pero el compañero de arriba tiene razon el fichero LSASS.EXE no existe en 98 :)

          • Cerrado

            Notita de symantec. y McAfee Also Known As: W32/Sasser.worm…

            Notita de symantec. y McAfee

            Also Known As: W32/Sasser.worm [McAfee]

            Type: Worm
            Infection Length: 15,872 bytes

            Systems Affected: Windows 2000, Windows Server 2003, Windows XP
            Systems Not Affected: Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT

            • Cerrado

              http://securityresponse.symantec.com/avcenter/venc/data/w32.sas…

              http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
              http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html
              http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.c.worm.html

    • Cerrado

      No veis el XD? Sois tos más susceptibles.. "Pero lo dejas a…

      No veis el XD?

      Sois tos más susceptibles..

      "Pero lo dejas a huevo.

      Precisamente, por eso nos hace mas listos, porque sabemos pasar de pseudo sistemas operativos"

      Ke me parto XDDDDDDD

      "xD
      Voy por las palomitas, en estos flames siempre se dicen muchas tonterias y acabas de empezar tu. Aun estoy riendome, que bueno..."

      Juas juas juas XDDDDDDD

    • Cerrado

      Eso creo que es obvio, tampoco le afecta a mi móvil con…

      Eso creo que es obvio, tampoco le afecta a mi móvil con symbian, a mi spectrum 128K, a mi Casio PB-1000...

      Comentario fuera de lugar para volver al debate anti-windows :-/

      • Cerrado

        En casos similares a este no es raro que salga un linuxero…

        En casos similares a este no es raro que salga un linuxero diciendo que la mejor cura a este virus es pasarse a linux, o algo similar. Lo hacen en la mayoria de los casos: problema con el explorer, usa mozilla; problema con ... pasate a linux.

        Ya sabemos que linux tiene ciertas ventajas frente a windows, no hace falta que nos lo restregueis de continuo, eso no os hace ser mas listos precisamente.

        saludos :)

          • Cerrado

            BocaDePez BocaDePez
            0
            Si eres tan listo que haces perdiendo el tiempo con tontos…

            Si eres tan listo que haces perdiendo el tiempo con tontos como nosotros? Si sabes que no aprenderemos?

            Uno con complejo de monjita misionera...

            • Cerrado

              BocaDePez BocaDePez
              0
              Ya que no he intentado meterte nada en tu cabeza hueca

              Ya que no he intentado meterte nada en tu cabeza hueca

          • Cerrado

            BocaDePez BocaDePez
            0
            xD Voy por las palomitas, en estos flames siempre se dicen…

            xD

            Voy por las palomitas, en estos flames siempre se dicen muchas tonterias y acabas de empezar tu. Aun estoy riendome, que bueno...

            • Cerrado

              BocaDePez BocaDePez
              0
              pero tu has seguido, asi que no se quien es peor....

              pero tu has seguido, asi que no se quien es peor....

  • Cerrado

    BocaDePez BocaDePez
    0

    pregunta tonta pero fundamental

    ¿kiere esto decir ke este parche para el sasser es uno de los ke hay ke guardar en un disco como hay ke hacer con el del blaster en el caso de ke formatees el ordenata para poder enchufarte a internet y bajar los updates del win ANTES de ke te entre?

    lo pregunto mas ke nada porke si este parche ya venia en el pack de abril como parece ke han dicho por ahi, eso esta genial y tal si ya lo tienes instalado, pero ke pasa al formatear, ¿hay ke guardar este parche bajo llave como el del baster?

    alguien puede arrojar luz sobre semejante asunto? :P

      • Cerrado

        Yo el sabado a las 7 de la mañana mire en panda y no habia…

        Yo el sabado a las 7 de la mañana mire en panda y no habia nada, pase la conexion al otro equipo y cayo a la 1º, meti un firewall cutre y au. Sin problemas.

  • Cerrado

    BocaDePez BocaDePez
    0

    Mielda Sasser

    Comentar que si, que es un parche como el del blaster es decir si formateas y conectas a internet sin ponerlo vuelves a coger el Sasser. Yo personalmente ya tengo 6 parches guardados para Blaster, Nachi y Sasser, que lo he cogido hoy (de los primeritos oche, jeje). Por si sirve de ayuda lo he eliminado primero instalando el parche, luego pasandole el antivirus y borrando los archivos infectados y quitando la entrada del registro para que no se ejecute en cada inicio.
    Finalmente comentar que a pesar de que en la web www.alerta-antivirus.es lo califican como de peligrosidad baja, a mi me ha inutilizado el pc totalmente no podia ejecutar ningun programa y no me respondia el sistema para nada mientras que me daba continuos errores de que no habia memoria virtual suficiente. Tb me ha provocado un reinicio al mas puro estilo Blaster. Ánimo y duro con él!

    • Cerrado

      BocaDePez BocaDePez
      0

      ok ya he guardao el parche del saser por aki, tengo alguna…

      ok ya he guardao el parche del saser por aki, tengo alguna pregunta mas: ¿alguien sabe de alguna peich donde tengan esos parches de seguridad para megagusanos apokaliptikos para despues de formatear?..... porke si existiera semejante lugar, seria la poia y tal.... vamos ke kitas el cable, formateas, chutas el servis pak1, chutas los parches antigusanos, enchufas interné, chutas el windous update y luego al libre albedrio.....

      yo formatee un ekipo hace poko y meti el del blaster y otro ke tengo a parte de ese dia pero ke no se ke es :P, ese del nachi tb es necesario?

      ¿alguein ha verificado si la solucion de arriba ke alguien comenta sobre el firewall de windous y estos gusanos realmente funciona?....... porke si funciona nos ahorrariamos los parches nada mas instalarlo, y la putada de olvidarte el cable y pillar el blaster nada mas instalar.....

      • Cerrado

        ...Puedes crear un CD que venga directamente con los Services…

        ...Puedes crear un CD que venga directamente con los Services Packs y los parches de Microsoft ya incluidos, asi cuando vayas a instalar por primera vez el XP después de, por ejemplo, formatear el pc, no tendras que ir parche por parche ni estar descargando de nuevo todo.

        La explicación paso a paso para crear este CD Booteable está en http://www.multingles.net/docs/cd.htm , aqui explica como meter los SP. Y como integrar los parches aparece aquí http://www.multingles.net/docs/cd.htm

        Está en castellano.

  • Cerrado

    BocaDePez BocaDePez
    0

    hace falta estar infectado?

    He mirado los procesos que estan funcionando y los que se cargan al iniciar (lo he mirado en el registro) y no hay ni rastro de procesos sospechosos. En c:\windows tampoco hay ningun fichero correspondiente a este virus.

    Hace falta estar infectado o puede saltar el error en lsass a traves de algun exploit remoto distinto? Porque hasta que puse el parche (ahora ya no), saltaba el error y trastocaba la conexion (se volvia muy inestable), pero ahora ya no y, repito, ni rastro de virus.

    • Cerrado

      Ayer por la mañana se me apagaba el ordenador, y actualicé…

      Ayer por la mañana se me apagaba el ordenador, y actualicé ese parche. La consecuencia fue que dejó de arrancarme el Win 2k SP4. Esto ya me había ocurrido con otro parche del año pasado, motivo por el cual dejé de bajarme los parches. Gracias al ERD 2003 logré parar un de lso servicios (IPSec , o algo así) y logré que volviera a arrancar.
      Ahora, no me vuelve a salir la ventanita de los 30 segundos antes del apagado, y todo parece que va bien, pero le he pasado el "pqremove" de Panda, y no encuentra rastros del virus, y tampoco encuentro el fichero avserver.exe, ni procesos raros... ¿Realmente no estaba infectado y sólo estaba siendo "atacado" externamente aprovechando la debilidad?

      • Cerrado

        El Norton Antivirus no es capaz de actualizarse. Le he…

        El Norton Antivirus no es capaz de actualizarse. Le he reinstalado el "Live Update", pero me sigue dando error... Me temo que voy a tener que volver a reinstalarlo entero...

          • Cerrado

            Miré en el archivo de hosts, y estaba correcto. He borrado…

            Miré en el archivo de hosts, y estaba correcto.
            He borrado otra vez el LiveUpdate, y me he bajado la última versión de la web de Symantec. Ahora ya va correctamente.

  • Cerrado

    BocaDePez BocaDePez
    0

    la prueba del algodon

    tengo tres ordenadores, uno siempre conectado al cable, otro "virgen" no lo conecto nada más que al enchufe de la electricidad y un tercero con el que hago experimentos, pues bien, con este ultimo, cogí y le metí un xp profesional, sin services packs, ni updates y sin ningun programa.

    Primero de todo para este experimento, hago un punto de restauración del sistema cuando esta "virgen".

    lo conecté al cable-modem y no tardó ni tres minutos cuando me apareció un hermoso cartelón que en inglés me advertía de que mi sistema operativo no estaba actualizado y que necesitaba hacer "noseque", no me dió tiempo a ver más ya que se cerró el sistema operativo y cada vez que reiniciaba volvía a salir el aviso.

    Quito la conexión a la red y reinicio de nuevo, y ya no me aparece el aviso y windows funciona bien, conecto el cable-modem y aparece casí enseguida el aviso y se reinicia de nuevo.

    Quito de nuevo la conexión a la red, reinicio de nuevo, voy al punto de restauración donde estaba virgen el xp, activo el firewall del windows xp, conecto el cable-modem y ....

    !tachan!, ya no se le ha vuelto a ver el pelo más al cartelito y ya no hay más reinicios.

    Osea que la cosa es tan simple como poner un simple firewall.

    Obviamente si poneis un antivirus la cosa irá mejor.

    Y si ya actualizaís windows, la leche vamos.

    • Cerrado

      BocaDePez BocaDePez
      0

      Para saber eso no hace falta hacer experimentos, cualquiera…

      Para saber eso no hace falta hacer experimentos, cualquiera que se mueva por Internet y se haya informado un poquito sabe que estar detrás de un firewall, tener un buen antivirus siempre actualizado y descargar las últimas actualizaciones de todos los programas que se tengan y desde luego instalar los parches y services pack de los sistemas operativos ya sean windows, linux, etc.. es la mejor solución para navegar con seguridad por Internet.

      Además contar con un software como el Spybot o el Ad-aware (juntos sin problemas) y por supuesto si es por modem, llamar al proveedor de telefonía que tengamos para que restrinja las llamadas a 906/806/etc; para no tener problemas con dialers, robots espías y/o publicitarios y demás...

      Eso y no abrir nunca un archivo o e-mail desconocido sin pasarlo antes nuestro antivirus nos asegura una protección 100%.

  • Cerrado

    BocaDePez BocaDePez
    0

    Prengunta.

    He estirpado el virus, en mis paticiones w2000 y XP, pero el servicio de actualización de MS no me funciona ¿Está estropeado o es un problema mío?.

    Y eso que borro todos los archivos temporales del explorer y coolkies por si fuera eso, pero nada.

    ¿Es cosa de MS o es cosa mía?, bueno al menos ahora no se me desconecta el PC.

    Gracias y saludos.

  • Cerrado

    BocaDePez BocaDePez
    0

    ¡¡¡QUÉ PUTADA!!! Estoy infectado, me cago en...

    Ayer (después de ver el Depor-B vencer al RM) se me apagaba el windows XP (el AUTHORITY/SYSTEM, me salía y se apagaba al minuto), hoy no arranca esa partición ¿?.

    Desde otra partición (W2000) noto que el sistema update de MS no me permite actualizar por un error.

    Estoy bajando varios parches tanto para W2000 como XP, pero quisiera saber si hay ya algún antivirus disponible (mejor gratuito) para no tener que estar bajándome y probando.

    ¿El ActiveScan de Panda podrá hacer algo?

    Saludos y suerte.

    ¿Cómo se me habrá ocurrido borrar la partición de Linux/Mandrake la semana pasada?, Gili...

    • Cerrado

      BocaDePez BocaDePez
      0

      El Panda Active Scan me lo ha encontrado en:…

      El Panda Active Scan me lo ha encontrado en:

      E:\WINDOWS\avserve2.exe E:\WINDOWS\system32\10152_up.exe

      E:\WINDOWS\system32\21891_up.exe

      E:\WINDOWS\system32\8121_up.exe

      Dice que es:

      Virus:W32/Sasser.B.worm
      Y dice que me ha desinfectado, ahora a ver... los parches de MS y ver que tal ¿no?

      Duro con él. ¡qué dominguito!

      • Cerrado

        De McAfee Security [...] Manual Removal Instructions To…

        De McAfee Security

        [...] Manual Removal Instructions
        To remove this virus "by hand", follow these steps:

        1. Reboot the system into Safe Mode (hit the F8 key as soon as the Starting Windows text is displayed, choose Safe Mode.
        2. Delete the file AVSERVE.EXE from your WINDOWS directory (typically c:\windows or c:\winnt)
        3. Edit the registry
          • Delete the "avserve" value from
            • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
              Windows\CurrentVersion\Run
        4. Reboot the system into Default Mode.

        Está claro no? Reinicio en modo seguro con F8, borrar el archivo AVSERVE.EXE del directorio de Windows y editar el registro borrando la entrada de avserve en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
        Windows\CurrentVersion\Run y reiniciar. Ahora es cuando no se reinicia y puedes descargar el parche o actualizar el antivirus, etc..

    • Cerrado

      Bajate de la web de panda la utilidad de reparación en…

      Bajate de la web de panda la utilidad de reparación en PandaSoftware y cuando hayas quitado el virus, instala el parche que suministra Microsoft.

      Creo que si no da tiempo a bajarte la utilidad de reparación puedes matar el proceso como en el Blaster y asi no te reiniciará el pc. Además por ahí dice que si el antivirus te desinfecta el fichero pero que vuelve a aparecer en la carpeta de _restore, lo que debes hacer es entrar en propiedades de Mi Pc y en Restaurar sistema desactivas las casillas de Desactivar restaurar sistema o Desactivar restaurar sistema en todas las unidades. Y ahora es cuando pasas el antivirus.

      • Cerrado

        BocaDePez BocaDePez
        0

        No se me reinicia porque utilizo otras particiones, seguiré…

        No se me reinicia porque utilizo otras particiones, seguiré tus pasos a ver que tal.

  • Cerrado

    BocaDePez BocaDePez
    0

    Increible

    Es increible, es la 1º infección que tengo en 6 años, pero si tengo el Sygate bien configurado!!...me salvé del Blaster, pero de este no. Uso el Norton, al reiniciar el ordenador me lo detectaba, pero no lo podía eliminar, he tenido que quitarlo del registro, reiniciar, y entonces ya si que ha podido quitarlo el norton haciendo un escanéo (el auto-protect del norton no lo ha detectado, aunque seguía en disco).

    ¿Cómo han reaccionado vuestros antivirus?...el Norton me ha decepcionado bastante. ¿qué tal con el Panda?

    Me ha sorprendido mucho es gusano....pero ¿cómo me ha podido infectar?, si paso todos los scaners bien...en fin

    Saludos

    • Cerrado

      El mio no ha reaccionado simplemente, ya estaba parcheado.…

      El mio no ha reaccionado simplemente, ya estaba parcheado. Esto pasa porque la gente se descuida de estas cosas, ya que el parche existia antes de que saliera este nuevo virus. Luego dicen que toda la culpa es de Microsoft, claro claro ;)

      • Cerrado

        BocaDePez BocaDePez
        0

        Si pues ayer me paso a mi cuando kite el firewall pq sino no…

        Si pues ayer me paso a mi cuando kite el firewall pq sino no podia hacer de servidor para jugar en red (no se pq no podian conectarse si le habia dao permisos) y me salio el cartelote ese. Utilice el fantastico windows update, me puse los parches q me decia q necesitaba, reinicie, quite el firewall para probar y tarari q te vi x el culo te di :D Otra vez el cartelote

    • Cerrado

      ¿Lo tenías actualizado? Lo que está claro es que en los…

      ¿Lo tenías actualizado? Lo que está claro es que en los tiempos que corren, disponer de un antivirus pero nó de un firewall es una temeridad. Yo uso Kaspersky AVP de antivirus y Kerio Personal Firewall y este último ya me ha alertado de que LSSA estaba tratando de hacer un movimiento "rarito". Te recomiendo ambos programas. Yo antes era un enamorado de Norton Antivirus, pero aunque AVP flaquea en el escaneo de Outlook Express (no incluye un módulo individual para éste), el resto de características compensa y mucho. Suerte ;) .

    • Cerrado

      BocaDePez BocaDePez
      0

      Pues eso, que he descubierto el fichero avserve2.exe en un pc…

      Pues eso, que he descubierto el fichero avserve2.exe en un pc dando por culo, tras parchearle el windows el norton actualizado dice que el fichero en cuestion no es un virus, es decir parece una mutacion. Y otra cosa cachonda es que cuando te infecta hay un monton de direcciones como symantec a las cuales no se pueden acceder, de esta manera no te deja actualizar el antivirus. Haces un ping a www.symantec.com y te responde la ip 127.0.0.1 , es decir tu mismo.

      • Cerrado

        Igual lo ha modificado. Está en windows\system32\drivers\etc\…

        Igual lo ha modificado. Está en

        windows\system32\drivers\etc\

        Se puede abrir y editar con el block de notas. Ojo, no borrar la línea "127.0.0.1 localhost ", pero sí las que contengan esa IP asociada a una dirección de Internet, si no las metiste tú.

        Un saludo,
        ~piezas

  • Cerrado

    El parche ya salió el día 12 del mes pasado

    Por favor, la gente que no se duerma en los laureles y que se ponga al día con los parches. Así se ahorrará muchos dolores de cabeza (o la mayoría).

  • Cerrado

    BocaDePez BocaDePez
    0

    Sasser.A... Sasser.B :S:S

    Desde luego es peligroso este Sasser y infecta muy deprisa, pero hoy 1/05/2004 ha salido Sasser.B :S y se infecta mucho mas rapido, (o almenos eso veo yo, pues he sido infectado y muchos contectos del msn tmabien en cambio dl sasser.a aunque haibaleido alguna cosa no me entro). Todo lo que has dicho con el Sasser.B tambien ocurre (aunque a veces AVSERVE.EXE es llamado AVSERV2.EXE (estan en c:/windows) y aunque lo borres manualment reaparece porque en c:/windows/system haty unos exe con esta forma, (numero cualquiera)_up.exe (x ej: 34934_up.exe) y estos, auqnue los borres x MS-DOS (ya que po windows no deja ya que estan siendo ejecutados) luego al reiniciar, reaparecen, yo lo he podido borrar gracieas al Panda Titanium 2004.

    Suerte a aquellos que les hay entrado ;)

1