redxiii
04/05/2004, 15:23
En varios paises, de declaro alerta roja por la nueva version del virus Sasser.
Esta nueva version tiene la particularidad de infectar a traves de una falla en los sistemas operativos basados en la tecnologia NT, tales como Windows XP, 2000, etc. Tal y como lo hace Blaster, presentando como sintomas estos mensajes:
<center>http://www.iespana.es/vivi-loves-company/sasser1.jpg
http://www.iespana.es/vivi-loves-company/sasser2.jpg</center>
Por que es peligroso esto?.
La mayoria de los virus (los tipicos), se propagan en "cosas". Documentos, fotos, mp3s, archivos zip, e-mails, etc. En otras palabras, debemos "obtenerlo" de alguna forma (bajandolo, copiandolo desde un disco, etc), y luego EJECUTARLO para infectarnos.
Sasser, al igual que Blaster, NO necesitan eso. Solo se propagan e infectan SI o SI.
Cuando nos infectamos, el gusano comienza a re-propagarse, escaneando Ip's en internet y detectando si esa IP tiene windows, y si lo tiene, si la falla esta presente o no.
Si el pc esta desprotegido, contagia a ese nuevo PC y lo usa como plataforma para volver a re-propagarse.
¿Que hacer?.
Primero que todo DEBEMOS PARCHAR WINDOWS.
aqui esta los accesos directos a la pagina de descarga de cada parche, para cada version de windows, en ingles y en español.
Comenzemos:
(*Formato de la siguiente lista*
Windows - Version:
1º Url Parche Ingles
2º Url Parche Español)
Microsoft Windows NT® Workstation 4.0 Service Pack 6a:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7F1713FC-F95C-43E5-B825-3CF72C1A0A3E&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=7F1713FC-F95C-43E5-B825-3CF72C1A0A3E&displaylang=es
Microsoft Windows NT Server 4.0 Service Pack 6a:
http://www.microsoft.com/downloads/details.aspx?FamilyId=67A6F461-D2FC-4AA0-957E-3B8DC44F9D79&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=67A6F461-D2FC-4AA0-957E-3B8DC44F9D79&displaylang=es
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=62CBA527-A827-4777-8641-28092D3AAE4F&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=62CBA527-A827-4777-8641-28092D3AAE4F&displaylang=es
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=es
Microsoft Windows XP and Microsoft Windows XP Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es
Microsoft Windows XP 64-Bit Edition Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C6B55EF2-D9FE-4DBE-AB7D-73A20C82FF73&displaylang=en
Parche Español: no existe.
Microsoft Windows XP 64-Bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en
Parche Español: no existe.
Microsoft Windows Server™ 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EAB176D0-01CF-453E-AE7E-7495864E8D8C&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=EAB176D0-01CF-453E-AE7E-7495864E8D8C&displaylang=es
Microsoft Windows Server 2003 64-Bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en
Parche Español: no existe.
¿Luego de parchar, que?:
Primero, vamos a ver si estamos infectados o no:
CTRL+ALT+SUPR, Abrir el "Administrador de Tareas".
ir a "Procesos" y ordenarlos alfabeticamente. Buscar el proceso "avserve.exe". Si lo tenemos en la lista, Terminarlo (presionar "Terminar Proceso" una vez que se seleccione "avserve.exe").
Si no Existe dicho proceso, estan a salvo.
Si lo tienen, sigan leyendo, vamos a quitarlo por completo
Paso a paso:
1)Desactivar el "Restaurador del Sistema" (System Restore) de Windows.
(http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/7730c2788aaa473388256bbb00037ca1?OpenDocument
2) Luego de haber terminado con "avserve.exe" en el Administrador de Tareas, iremos al registro de Windows a quitar la clave del registro que inicia el gusano.
Inicio -> Ejecutar -> "regedit" (escribir eso, sin comillas y aceptar).
Se abrira el registro de Windows.
Ir a la siguiente clave del registro (navegando en la seccion izquierda de la ventana que se abrio):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun
En "run", buscar y ELIMINAR la siguiente clave de registro:
avserve.exe = %windir%avserve.exe
o
"avserve2.exe"="%Windir%avserve2.exe"
Listo.
3) Actualizar las definciones de nuestro antivirus.
El antivirus "Panda" y toda la familia de antivirus de "Symantec" (Corporate y Norton) YA tienen incluidos en su definicion de virus este gusano.
4) Luego de actualizar las definiciones de virus de nuestro antivirus, correr un escaneo del sistema completo y quitar el gusano Sasser (lo eliminara automaticamente si la definicion de virus esta actualizada).
5) Reiniciar.
Listo.
Espero les sirva la informacion
Saludos.
Memento Mori
Esta nueva version tiene la particularidad de infectar a traves de una falla en los sistemas operativos basados en la tecnologia NT, tales como Windows XP, 2000, etc. Tal y como lo hace Blaster, presentando como sintomas estos mensajes:
<center>http://www.iespana.es/vivi-loves-company/sasser1.jpg
http://www.iespana.es/vivi-loves-company/sasser2.jpg</center>
Por que es peligroso esto?.
La mayoria de los virus (los tipicos), se propagan en "cosas". Documentos, fotos, mp3s, archivos zip, e-mails, etc. En otras palabras, debemos "obtenerlo" de alguna forma (bajandolo, copiandolo desde un disco, etc), y luego EJECUTARLO para infectarnos.
Sasser, al igual que Blaster, NO necesitan eso. Solo se propagan e infectan SI o SI.
Cuando nos infectamos, el gusano comienza a re-propagarse, escaneando Ip's en internet y detectando si esa IP tiene windows, y si lo tiene, si la falla esta presente o no.
Si el pc esta desprotegido, contagia a ese nuevo PC y lo usa como plataforma para volver a re-propagarse.
¿Que hacer?.
Primero que todo DEBEMOS PARCHAR WINDOWS.
aqui esta los accesos directos a la pagina de descarga de cada parche, para cada version de windows, en ingles y en español.
Comenzemos:
(*Formato de la siguiente lista*
Windows - Version:
1º Url Parche Ingles
2º Url Parche Español)
Microsoft Windows NT® Workstation 4.0 Service Pack 6a:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7F1713FC-F95C-43E5-B825-3CF72C1A0A3E&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=7F1713FC-F95C-43E5-B825-3CF72C1A0A3E&displaylang=es
Microsoft Windows NT Server 4.0 Service Pack 6a:
http://www.microsoft.com/downloads/details.aspx?FamilyId=67A6F461-D2FC-4AA0-957E-3B8DC44F9D79&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=67A6F461-D2FC-4AA0-957E-3B8DC44F9D79&displaylang=es
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=62CBA527-A827-4777-8641-28092D3AAE4F&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=62CBA527-A827-4777-8641-28092D3AAE4F&displaylang=es
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=es
Microsoft Windows XP and Microsoft Windows XP Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es
Microsoft Windows XP 64-Bit Edition Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C6B55EF2-D9FE-4DBE-AB7D-73A20C82FF73&displaylang=en
Parche Español: no existe.
Microsoft Windows XP 64-Bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en
Parche Español: no existe.
Microsoft Windows Server™ 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EAB176D0-01CF-453E-AE7E-7495864E8D8C&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyId=EAB176D0-01CF-453E-AE7E-7495864E8D8C&displaylang=es
Microsoft Windows Server 2003 64-Bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en
Parche Español: no existe.
¿Luego de parchar, que?:
Primero, vamos a ver si estamos infectados o no:
CTRL+ALT+SUPR, Abrir el "Administrador de Tareas".
ir a "Procesos" y ordenarlos alfabeticamente. Buscar el proceso "avserve.exe". Si lo tenemos en la lista, Terminarlo (presionar "Terminar Proceso" una vez que se seleccione "avserve.exe").
Si no Existe dicho proceso, estan a salvo.
Si lo tienen, sigan leyendo, vamos a quitarlo por completo
Paso a paso:
1)Desactivar el "Restaurador del Sistema" (System Restore) de Windows.
(http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/7730c2788aaa473388256bbb00037ca1?OpenDocument
2) Luego de haber terminado con "avserve.exe" en el Administrador de Tareas, iremos al registro de Windows a quitar la clave del registro que inicia el gusano.
Inicio -> Ejecutar -> "regedit" (escribir eso, sin comillas y aceptar).
Se abrira el registro de Windows.
Ir a la siguiente clave del registro (navegando en la seccion izquierda de la ventana que se abrio):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun
En "run", buscar y ELIMINAR la siguiente clave de registro:
avserve.exe = %windir%avserve.exe
o
"avserve2.exe"="%Windir%avserve2.exe"
Listo.
3) Actualizar las definciones de nuestro antivirus.
El antivirus "Panda" y toda la familia de antivirus de "Symantec" (Corporate y Norton) YA tienen incluidos en su definicion de virus este gusano.
4) Luego de actualizar las definiciones de virus de nuestro antivirus, correr un escaneo del sistema completo y quitar el gusano Sasser (lo eliminara automaticamente si la definicion de virus esta actualizada).
5) Reiniciar.
Listo.
Espero les sirva la informacion
Saludos.
Memento Mori