Como eliminar virus del agujero LSASS (Sasser ,Cycle, Korgo

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Como eliminar virus del agujero LSASS (Sasser ,Cycle, Korgo

Mensaje por msc hotline sat » 13 May 2004, 15:04

NOTA: ESTE TEMA ES DEL 2004 Y HA SIDO ABIERTO POR UN USUARIO POR ERROR. NO HACER CASO DE LO QUE EN ÉL SE DICE, PUES ES OBSOLETO Y SUSTITUIDO POR EL ELITRIIP COMO SE INDICA AL FINAL DE ESTE POST
Con la utilidad ELILSA.EXE se irán acumulñando las rutinas de eliminacion de los virus que entran por el agujero de seguridad que provoca la intrusion por el port TCP445 y producen el desbordamiento del LSASS; lo cual provoca el Error de Windows que cierra el PC en 60 segundos. (Por falta del parche de Microsoft MS04-011)

Habiendo sido el SASSER, con sus multiples variantes (A, B, C, D, E y F en el momento de redactar este post) el primero t habiendo aparecido ya otro, el CYCLE.A a continuacion, se prevee que serán varios los que van a aprovechar este agujero de microsoft para entrar en las máquinas, y por elo hemos iniciado una nueva utilidad ELILSA.EXE en la que iremos controlando los similares que entren por este agujero, haciendo nuevas versiones correspondientes a nuevas variantes.

Con el ELILSA.EXE no será necesario añadir el parámetro /STOP que utilizabamos en el ELISASSA para bloquear el intento de intrusion por el TCP445, sino que su ejecución ya preguntará si se quiere bloquear o no, y en función de la necesidad, poder obrar en consecuencia.

Si se contesta S (Sí) o Enter, se bloqueará la entrada, y tras la eliminacion del virus a continuacion, podrá conectarse a Internet y actualizar los parches, especialmente el MS04-011 qie es el que subre la vulnerabilidad en cuestión, y tras reiniciar ya estarán los parches cargados y el ordenador limpio de virus.

SI por ser un servidor o por estar probandolo en un ordenador no infectado, se ha bloqueado y no se quiere resetear la máquina, puede devolverse el acceso a dicho port ejecutando ELILSA.EXE /START bien desde Inicio-Ejecutar o desde una ventana al DOS .

Y desde v 1.1b tambien se controla con esta utilidad el virus STDBOT, alias KIBUV.A, que entra indistintamente por el agujero del RPCDCOM o por el LSASS (agujeros MS04-012 y MS04-011)


---v1.2--- (18 de Mayo del 2004) (para el StdBot.A y B o Kibuv)
---v1.3--- (25 de Mayo del 2004) (para el Korgo.A,B y C)
---v1.4--- (26 de Mayo del 2004) (para el StdBot.C o Kibuv)
---v1.5--- (27 de Mayo del 2004) (para el StdBot.E o Kibuv)
---v1.6--- ( 2 de Junio del 2004) (para el Korgo.D,E y F)
---v1.7--- ( 2 de Junio del 2004) (para el Korgo.F de VSAntivirus) -G para McAfee-
---v1.8--- ( 4 de Junio del 2004) (para el Plexus.A)
---v1.9--- ( 7 de Junio del 2004) (para Donk.B,D,E,L,M,R y Plexus.B y C)
---v2.0--- ( 9 de Junio del 2004) (para el Korgo.H de VSAntivirus o I de McAfee)
---v2.1--- (14 de Junio del 2004) (para el Gaobot.XP)
---v2.2--- (21 de Junio del 2004) (para el Korgo.K,L,M,P y Gaobot.IZ,KQ y NG)
--v2.3--- (28 de Junio del 2004) (para el Korgo.Q,R,S,T,U,V y Gaobot.IZ,KQ y NG)
--v2.4--- ( 2 de Julio del 2004) (para el Korgo.S de McAfee, W y X)
---v2.5--- (23 de Julio del 2004) (para el Gaobot.UC)
---v2.6--- (29 de Julio del 2004) (para el Gaobot.UE)
---v2.7--- ( 7 de Septiembre del 2004) (para el Sasser.G y el Wort.A)
---v2.8--- (15 de Septiembre del 2004) (para el Sykel.A, Spybot.DNB y DNC)
---v2.9--- (22 de Septiembre del 2004) (SP2 de XPs, KB811113)
---v3.0--- ( 1 de Octubre del 2004) (para el Korgo.AE, RBot.EH de Trend y RBot.KX de Sophos)
---v3.1--- ( 4 de Octubre del 2004) (para el RBot.ET de Sophos)
---v3.2--- (27 de Octubre del 2004) (para el Huayu.A de VSAntiVirus)
---v3.3--- (15 de Noviembre del 2004) (para el Cran.A de McAfee)
---v3.4--- (30 de Noviembre del 2004) (para el SdBot generado por el Mugly)
---v3.5--- (13 de Diciembre del 2004) (para el Janx.A de VSAntiVirus)
---v3.6--- (14 de Diciembre del 2004) (para el IRC/SdBot.CRC y CRH de VSAntiVirus)
---v3.7--- (22 de Diciembre del 2004) (para el Netdepix.A de VSAntiVirus y añadida la exploración por cadena)
---v3.8--- (30 de Diciembre del 2004) (para el Dipnet.A y B de VSAntiVirus)
---v3.9--- (18 de Enero del 2005) (para el Dipnet.NAC de VSAntiVirus)
---v4.0--- (24 de Enero del 2005) (controla el parche MS04-011 en Windows Server 2003)
---v4.1--- (31 de Enero del 2005) (para W32/Sdbot.worm!166912 de McAfee y SpyBoy.LN de Trend "MSSW32.EXE")
---v4.2--- ( 3 de Febrero del 2005) (para RBot.UM de Trend "WUAMPD.EXE")


Controla los siguientes Gusanos:

Sasser.A,B,C,D,E,F y G
Cycle.A
StdBot.A,B,C , E y CRC Y CRK
Kibuv
Korgo .A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,,W X, AE,
RBot.EH de Trend y RBot.KX de Sophos)
RBot.ET de Sophos)
Plexus.A,B y C
Donk.B,D,E,L,M y R (según VSAntiVirus)
Gaobot.XP,IZ,KQ NG , UC y UE (según VSAntiVirus)
Wort.A
Sykel.A, Spybot.DNB y DNC)
Huayu.A
Cran.A
SdBot generado por el Mugly)
Dipnet.NAC
SdBot "MSSW32.EXE"
SdBot "WUAMPD.EXE"

Para probar dicha utilidad :

NOTA: DESDE 14.02.2005 ESTA UTILIDAD ES SUTITUIDA POR LA ELITRIIP.EXE:

NUEVO LINK:
http://www.zonavirus.com/descargas/elitriip.asp


actualizado a las ultimas versiones indicadas
Arriba
eleazarbt
Mensajes: 1
Registrado: 20 Abr 2010, 15:37

Re: Como eliminar virus del agujero LSASS (Sasser ,Cycle, Korgo

Mensaje por eleazarbt » 29 Dic 2010, 12:31

hace dos dias fui victima e uno de mis servidores de dicho virus, cabe anotar que vino acompañado de su inseparable amigo Blaster, todo coincidio, Mcafee total protecccion no lo detecta, el servidor con S.O. win 2008 enterprise, x64, con actualizaciones automaticas activas, no me encontraba en turno y se tomo la erronea decision de desintalar el antivirus en modo normal ya que se creia que el problema era generado por un conflicto entre el antivirus y una aplicacion, y a pesar de mis advertencias via Telefonica que no se hiciera eso que se verificara la presencia del virus se procedio a desinstalar, una vez hecho esto Blaster que hasta ese momento estaba contenido se apropio del sistema operativo. lo que culmino en un mal procedimiento que se tiro el s.o.

conclusion el man esta vivo, si concocen algua herramienta que detecte ambos virus me la pasan que es una mamera desinstalar eso manualmente.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Como eliminar virus del agujero LSASS (Sasser ,Cycle, Korgo

Mensaje por msc hotline sat » 29 Dic 2010, 20:46

No debías haber escrito en este Tema por lo indicado en https://foros.zonavirus.com/viewtopic.php?f=1&t=17382



Pero ya que lo has hecho, te informo que lo primero que has de hacer es descargar el ELITRIIP y, tras probarlo, postearnos el informe resultante:


[quote="para DESCARGAR el ELITRIIP, msc"] http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Para contestarnos edita un Tema nuevo en este mismo apartado indicando que viene de este, que, por lo indicado al principio de este post, procedemos a cerrarlo



saludos



ms, 29-12-2010

RCOLBARRAN.
Arriba
Cerrado

Volver a “Foro Virus - Cuentanos tu problema”