En varios paises, de declaro alerta roja por la nueva version del virus Sasser.

Esta nueva version tiene la particularidad de infectar a traves de una falla en los sistemas operativos basados en la tecnologia NT, tales como Windows XP, 2000, etc. Tal y como lo hace Blaster, presentando como sintomas estos mensajes:

<center>http://www.iespana.es/vivi-loves-company/sasser1.jpg

http://www.iespana.es/vivi-loves-company/sasser2.jpg</center>

Por que es peligroso esto?.

La mayoria de los virus (los tipicos), se propagan en "cosas". Documentos, fotos, mp3s, archivos zip, e-mails, etc. En otras palabras, debemos "obtenerlo" de alguna forma (bajandolo, copiandolo desde un disco, etc), y luego EJECUTARLO para infectarnos.

Sasser, al igual que Blaster, NO necesitan eso. Solo se propagan e infectan SI o SI.

Cuando nos infectamos, el gusano comienza a re-propagarse, escaneando Ip's en internet y detectando si esa IP tiene windows, y si lo tiene, si la falla esta presente o no.

Si el pc esta desprotegido, contagia a ese nuevo PC y lo usa como plataforma para volver a re-propagarse.

¿Que hacer?.

Primero que todo DEBEMOS PARCHAR WINDOWS.

aqui esta los accesos directos a la pagina de descarga de cada parche, para cada version de windows, en ingles y en español.

Comenzemos:
(*Formato de la siguiente lista*
Windows - Version:
1º Url Parche Ingles
2º Url Parche Español)

Microsoft Windows NT® Workstation 4.0 Service Pack 6a:

http://www.microsoft.com/downloads/details.aspx?FamilyId=7F1713FC-F95C-43E5-B825-3CF72C1A0A3E&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyId=7F1713FC-F95C-43E5-B825-3CF72C1A0A3E&displaylang=es

Microsoft Windows NT Server 4.0 Service Pack 6a:

http://www.microsoft.com/downloads/details.aspx?FamilyId=67A6F461-D2FC-4AA0-957E-3B8DC44F9D79&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyId=67A6F461-D2FC-4AA0-957E-3B8DC44F9D79&displaylang=es

Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6:

http://www.microsoft.com/downloads/details.aspx?FamilyId=62CBA527-A827-4777-8641-28092D3AAE4F&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyId=62CBA527-A827-4777-8641-28092D3AAE4F&displaylang=es

Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4:

http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=es

Microsoft Windows XP and Microsoft Windows XP Service Pack 1:

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es

Microsoft Windows XP 64-Bit Edition Service Pack 1:

http://www.microsoft.com/downloads/details.aspx?FamilyId=C6B55EF2-D9FE-4DBE-AB7D-73A20C82FF73&displaylang=en

Parche Español: no existe.

Microsoft Windows XP 64-Bit Edition Version 2003:

http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en

Parche Español: no existe.

Microsoft Windows Server™ 2003:

http://www.microsoft.com/downloads/details.aspx?FamilyId=EAB176D0-01CF-453E-AE7E-7495864E8D8C&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyId=EAB176D0-01CF-453E-AE7E-7495864E8D8C&displaylang=es

Microsoft Windows Server 2003 64-Bit Edition:

http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en

Parche Español: no existe.

¿Luego de parchar, que?:

Primero, vamos a ver si estamos infectados o no:

CTRL+ALT+SUPR, Abrir el "Administrador de Tareas".
ir a "Procesos" y ordenarlos alfabeticamente. Buscar el proceso "avserve.exe". Si lo tenemos en la lista, Terminarlo (presionar "Terminar Proceso" una vez que se seleccione "avserve.exe").

Si no Existe dicho proceso, estan a salvo.

Si lo tienen, sigan leyendo, vamos a quitarlo por completo
Paso a paso:

1)Desactivar el "Restaurador del Sistema" (System Restore) de Windows.
(http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/7730c2788aaa473388256bbb00037ca1?OpenDocument

2) Luego de haber terminado con "avserve.exe" en el Administrador de Tareas, iremos al registro de Windows a quitar la clave del registro que inicia el gusano.
Inicio -> Ejecutar -> "regedit" (escribir eso, sin comillas y aceptar).

Se abrira el registro de Windows.

Ir a la siguiente clave del registro (navegando en la seccion izquierda de la ventana que se abrio):

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun

En "run", buscar y ELIMINAR la siguiente clave de registro:
avserve.exe = %windir%avserve.exe

o

"avserve2.exe"="%Windir%avserve2.exe"

Listo.

3) Actualizar las definciones de nuestro antivirus.

El antivirus "Panda" y toda la familia de antivirus de "Symantec" (Corporate y Norton) YA tienen incluidos en su definicion de virus este gusano.

4) Luego de actualizar las definiciones de virus de nuestro antivirus, correr un escaneo del sistema completo y quitar el gusano Sasser (lo eliminara automaticamente si la definicion de virus esta actualizada).

5) Reiniciar.

Listo.

Espero les sirva la informacion

Saludos.

Memento Mori

<font color="purple">Aparece la nueva variante F de virus Sasser</font>

Madrid, (Virus Alerts).- PandaLabs ha detectado la aparición del nuevo gusano Sasser.F. Se trata de una variante muy similar al gusano original, con el que tan sólo tiene algunas pequeñas diferencias, como la forma en que ha sido empaquetado.

Según Luis Corrons, director de PandaLabs: "Todo apunta a que un hacker sin demasiada experiencia ha creado Sasser.F, a partir de unas pequeñas modificaciones en el código del gusano original. Otra posibilidad" -añade Luis Corrons- "es que el autor del gusano Sasser no actuase solo, y que otra persona esté poniendo en circulación variantes creadas con anterioridad. Sin embargo, vista la trayectoria de continua evolución de los gusanos Sasser, el hecho de que la variante F no incluya ninguna novedad con respecto a las anteriores confirmaría que ha sido otra persona quien la ha creado".

Es más que previsible que sigan apareciendo nuevas variantes tanto de Sasser, como de Cycle, o de otros nuevos virus que hagan uso de la vulnerabilidad LSASS. "La primera medida para evitar las infecciones de estos virus es instalar los parches que Microsoft ha publicado para corregir la vulnerabilidad LSASS. Dado que el número de virus que están en circulación haciendo uso de dicho problema es muy alto -y puede seguir aumentando- la probabilidad de que un ordenador se vea afectado sigue siendo muy elevada" , concluye Luis Corrons.

Ante la posibilidad de un encuentro con Sasser.F o con cualquiera de las otras variantes, Panda Software recomienda extremar las precauciones, mantener actualizado el software antivirus y aplicar el parche de Microsoft -que puede ser descargado desde http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx-, ya que mientras la vulnerabilidad no esté solucionada, los equipos seguirán infectándose por este virus. Por su parte, los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo gusano.

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:

http://www.pandasoftware.es/virus_info/enciclopedia/

Ayuda en el Centro de Soporte On-line de Panda Software:

http://www.pandasoftware.es/soporte/ (http://www.pandasoftware.es/soporte/)

Los clientes de Panda Software pueden actualizar su antivirus desde las propias aplicaciones que tengan instaladas en sus ordenadores.

Para la detección y desinfección gratuita de los ordenadores pueden utilizar el antivirus on-line Panda ActiveScan, disponible en Pandasoftware.es (http://www.pandasoftware.es/)

Fuente:
<font color="gray">Bolpress</font> (http://www.bolpress.com/)

***

« Liriçous »