Isass.exe

[coy]

Hola de nuevo,el bixo que tengo es lo mas parecido al BLASTER,pq pasados unos minutos cuandoinicio sesion en el w2000 aparece la cixosa pantalla de q se va a cerrar el Sistema y q te agarres de las orejas...



Es muy imposible trabajar asi,me gustaria saber como eliminar este problema.Gracias

Un Ssaludo

[cañera]

sigue los consejos de este link;

https://foros.zonavirus.com/viewtopic.php?t=46

cuentanos como te fue.

[coy]

Hola mi problema era debido a una nueva vulnerabilidad de mi sistema O.P (w2000) en el Xp ocurre lo mismo,os paso la informacion q me ayudo a solucionarlo.Un Saldo



----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Virus: WIN32/SASSER.A



- INFORMACION sobre el virus:

Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en el parche MS04-011. Solo afecta computadoras bajo Windows XP o 2000, que no posean dicho parche instalado.



- CARACTERISTICAS

Existe una posible infección cuando se producen continuos cuelgues del proceso LSASS.EXE,

y existe el siguiente archivo en el sistema:



c:\win.log



Se genera tráfico excesivo en los siguientes puertos TCP:



445, 5554 y 9996





Análisis:



El gusano es un archivo de 15,872 bytes.



El gusano se copia a si mismo en la carpeta de Windows con el siguiente nombre:



c:\windows\avserve.exe



NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).



También crea el siguiente archivo:



c:\win.log



Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:



HKLM\Software\Microsoft\Windows\CurrentVersion\Run

avserve = c:\windows\avserve.exe



El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).



Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.



En Windows XP, muestra una ventana con un mensaje muy similar al siguiente:



LSA Shell (Export Version) ha encontrado un problema

y debe cerrarse. Sentimos mucho el inconveniente.



En Windows 2000 se muestra una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):



Apagar el sistema



Se está apagando el sistema. Guarde todo

trabajo en curso y cierre la sesión. Se perderá

cualquier cambio que no haya sido guardado.

El apagado ha sido iniciado por NT

AUTORITHY\SYSTEM



Tiempo restante

para el apagado: xx:xx:xx



Mensaje

El proceso del sistema

C:\WINNT\system32\lsass.exe terminó

de forma inesperada indicando código 0

Windows debe reiniciar ahora.



El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).



Windows 9x, Me y NT, no son vulnerables.



Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/9996.



A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UP.EXE), provocando la infección.



El servidor FTP escucha por el puerto TCP/5554 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.



El archivo C:\WIN.LOG registra todas las transacciones FTP realizadas.



El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:



Jobaka3l



El uso de un cortafuego personal, disminuye el riesgo de infección.



- INSTRUCCIONES PARA ELIMINARLO

1. Descargue e instale el parche MS04-011 y luego reinicie el equipo:



Microsoft Security Bulletin MS04-011

http://www.microsoft.com/en/us/default.aspxtechnet/security/bulletin/ms04-011.mspx



Enlace en spanish

http://www.vsantivirus.com/vulms04-011.htm



2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.



3. Elimine bajo la columna Nombre, la entrada avserve, en la siguiente clave del registro:



HKLM\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run



4. En Windows NT, 2000 y XP, abra la siguiente clave del registro:



HKLM\SOFTWARE\Microsoft\Windows NT

\CurrentVersion\Winlogon



5. Cierre el editor del registro.



6. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.



Info sacada de http://www.enciclopediavirus.com/virus/vervirus.php?id=821&alerta=1



Antivirus online http://www.pandasoftware.es/activescan/es/activescan_principal.htm

[cañera]

gracias por la información.recientito,recientito.

empezamos bien el mes.........

pues haber como va a afectar...pero creo que no tendrá mucho problema desde que tengamos la utilidad para eliminarla.

ya eso será trabajo de nuestro compi MSC.

gracias nuevamente.

[msc hotline sat]

Nota complementaria:



Ya disponible en esta web la utilidad ELISASSA.EXE que controla y elimina el virus SASSER, además de comprobar que esté instalado el parche y si no informar al respecto.



https://foros.zonavirus.com/viewtopic.php?t=605



saludos



ms, 03-05-2004

[formiga]

Hola otra vez, cuanto tiempo!!

Me paso lo mismo, pero a lo raro.

Ayer me pase un antivirus on line y todos los Eli's que hay, ya que el editor de registro se me cierra al segundo de abrirlo, y el scan del antivirus no me chuta, y no me encontro NADA (todo en modo a prueba de fallos). El caso es que en uno de los reinicios (el ordenador sigue con sus errores(el viernes ordenador nuevo OLE OLE)) me aparecio la pantallita esa con la cuenta atras. Y digo raro, pq despues de pasar el antivirus, apague el modem, asi que no se cuando se supone que entro el bicho, y para mas inri, tengo todos los parches de windows.

Solo paso una vez, no me ha vuelto a pasar. Asi que, entro el virus? o fue un fallo mas del ordenador?

Por si las moscas cuando llegue a casa me pasaré la utilidad creada para matar el coso ese.

Yo os lo cuento pq me parecio como poco raro. Y para dar la tabarra un rato :D

Saludos!

[msc hotline sat]

Si, formiga, la utilidad ELISASSA.EXE es nueva de hoy, y te controla si tienes el parche instalado, alertandote de la falta del mismo en su caso, aparte de eliminarte el virus, claro.



Ya nos dirás si te ha ido bien, como es de esperar.



saludos



ms, 03-05-2004

[formiga]

Esto es un follon, ccon tantos issas como mensaje no se donde poner nada...

Bueno he pasado el Elimatabicho y el parche lo tengo, como ya sabia, y al bicho no lo detecta. Que curioso, no?

Por cierto, y aunque no venga al caso, alguna idea para poder ejecutar el regedit? en modo a prueba de fallos, si me deja, pero normal nanai, se me cierra.

Saludos!!!!!!!!!

[msc hotline sat]

Para restaurar la edicion del registro de sistema, prueba ejecutar el ELIRESTR.VBS



Sobre el Sasser, lanzando el Elisassa,exe dime si te encuentra a faltar el parche MS04-011



Si es así, te está atacando remotamente, y no tienes el virus en la máquina, razon por la que el Elisassa no te lo encuentra.



Estamos haciendo un Elisassa v 1.2 que podrá detener el ataque vírico remoto, ejecutandolo con la opcion /STOP, para las máquinas sin parches puedan bloquear el ataque y tras instalar los parches, volver a procesar normalmente con la opcione /START



Mañana la subiremos a esta web.



Si quieres algo mas al r5especto, dímelo, pues solo hemos contabilizadp mas de 500 incidencias de este bicho, y tenemos experiencias para todos los gustos.



Saludos



ms, 03-05-2004

[formiga]

Si tengo el antivirus actualizado, y el parche desde el dia en que salio como es el caso... a que vino la cuenta atras y el reinicio?

El Elisasser, no me encuentra el bicho, y no ha echado de menos el parche.

Que cosas le pasan a este ordenador por dios...

[msc hotline sat]

Vale formiga, leete las caracteristicas de la nueva version v 1.2b del ELISASSA, y haz lo del /STOP:



https://foros.zonavirus.com/viewtopic.php?t=623&sid=1488f7792f23a9a2ff844f0713156468



saludos



ms, 04-05-2004

[formiga]

Eeeeps, alto, sooooooo caballo!!!

a verl, o estoy tonta o estoy tonta, me parecio entender que este tipo de "ataque remoto" por el bicho, tiene "exito" si no se tiene el parche. pero yo lo tengo desde mediados de abril.

ventana azul con la cuenta atras??? a mi no me salio eso, fue una ventanita tipo VBScript con el mensaje y la cuenta atras.

Y solo fue un dia.

Asi que mira, ya paso, total... el viernes ordenador nuevo!!!

Saludos!!!!!

[msc hotline sat]

Entonces te entró por no tener el antivirus actualizado, y el ataque no fue remoto, sino desde tu mismo ordenador.



El gusano, si no puede entrar por existir el antivirus pero no los parches, provoca un error al intentar entrar y no poder, lo que hace que Windows lance la cuenta atrás, pero si tienes los parches y no el antivirus, te entró el gusano por falta de control AV, y al activarse provocaba el error, con la misma cuenta atrás.



Creemos tener ya controlados todos los casos de las cuatro variantes actualmente conocidas hasta ahora de este SASSER, pero si tuvieras cualquier incidencia atipica, dinosla y estudiaremos la solucion.



saludos



ms, 05-05-2004