El pasado 1 de Mayo se activó un nuevo virus/gusano informático, se trata de un gusano catalogado con peligrosidad máxima, muy dañino y muy difundido, se le ha llamado SASSER del que ya empiezan a existir diversas variantes.
más abajo os remito un informe sobre este gusano e instrucciones para eliminarlo, aunque algunas compañias con programas antivirus han confeccionado una pequeña herramienta para su eliminación automática del pc.
INFORMACION
Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en el parche MS04-011. Solo afecta computadoras bajo Windows XP o 2000, que no posean dicho parche instalado.
CARACTERISTICAS
Existe una posible infección cuando se producen continuos cuelgues del proceso LSASS.EXE, y existe el siguiente archivo en el sistema:
c:win.log
Se genera tráfico excesivo en los siguientes puertos TCP:
445, 5554 y 9996
Análisis:
El gusano es un archivo de 15,872 bytes.
El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:
c:windowsavserve.exe
NOTA: La carpeta "c:windows" puede variar de acuerdo al sistema operativo instalado ("c:winnt" en NT, "c:windows", en 9x, Me, XP, etc.).
También crea el siguiente archivo:
c:win.log
Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
avserve = c:windowsavserve.exe
El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).
Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.
El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).
Windows 9x, Me y NT, no son vulnerables.
Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.
A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE), provocando la infección.
El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.
El archivo C:WIN.LOG registra todas las transacciones FTP realizadas.
El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
Jobaka3l
El uso de un cortafuego personal, disminuye el riesgo de infección.
INSTRUCCIONES PARA ELIMINARLO
1. Descargue e instale el parche MS04-011 y luego reinicie el equipo(Esto hacerlo siempre, aunque no se esté infectado):
Microsoft Security Bulletin MS04-011
2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
3. Elimine bajo la columna "Nombre", la entrada "avserve", en la siguiente clave del registro:
HKEY_Local_MachineSOFTWAREMicrosoftWindowsCurrentVersionRun
Cómo hacerlo (mucha atención y mucho cuidado).
En Inicio - Ejecutar escribir regedit.exe
En la lista de carpetas (más bien enorme) que se abre a la izquierda buscar la carpeta llamada
HKEY_LOCAL_MACHINE (Pulsar sobre el signo +)
En las que se abren buscart la carpeta SOFTWARE (Pulsar sobre el signo +)
En las que se abren buscart la carpeta Microsoft (Pulsar sobre el signo +)
En las que se abren buscart la carpeta Windows NT (Pulsar sobre el signo +)
En las que se abren buscart la carpeta Current Version(Pulsar sobre el signo +)
En las que se abren buscart la carpeta Run (Pulsar sobre el signo +)
A la derecha en la columna nombre aparecerá avserve, señalarlo y eliminarlo.
Cerrar el registrro
Reiniciar
4. En Windows NT, 2000 y XP, abra la siguiente clave del registro(Procediendo igual que en el caso anterior, abriendo subcarpetas):
HKEY_Local_MachineSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
5. Cierre el editor del registro.
6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
SOLUCION
1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite una página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver la guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"User32" = (ubicación del ejecutable)
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
(nombre del ejecutable) = (ubicación del ejecutable)
Restaure las siguientes entradas del registro:
HKEY_CLASSES_ROOTexefileshellopencommand
(Predeterminado) = "%1" %*
5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Bueno y que tengais suerte!!!