Mensaje
por msc hotline sat » 04 May 2004, 14:04
Como ya se indica en el apartado de ALERTAS, este virus está controlado en sus 4 variantes conocidas, A, B, C y D y entra por no tener actualizados los parches de Microsoft, especialmente el MS04-011, por el port TCP445
Con los antivirus actualizados (McAfee 4356) y los parches aplicados, ya no entra dicho virus en las máquinas que tienen dicha vulberabilidad (XP y W2000) pero hemos tenido cientos de incidencias de máquinas que no tenían los parches y se han infectado, en las cuales tras haber actualizado el antivirus, los intentos de intrusion desde Internet por falta de parches, provocaban el error de windows que íniciaba la cuenta atrás del minuto de apagdo, al igual que lo hacía el mismo ERROR provocado por el antiguo LOVSAN o BLASTER, si bien para aquellos era el port 135 el usado y los parches eran otros.
Pues bien, todo y que creamos la utilidad ELISASSA.EXE que detenía el virus en memoria y restauraba las claves de registro modificadas por el virus, además de eliminar los gusanos, y ello tras haber comprobado la existencia del parche en cuestión, el MS04-011, y sino lanzar un mensaje previo de aviso, el mayor problema y bastante repetitivo ha sido que las máquinas sin parches ya empezaban la cuenta atrás al arrancar, sin posibilidad de ejecutar nada y tampoco sin posibilidad de instalar los parches.
Y ello pasa si se tienen conectadas a Internet con una ADSL, y reciben el ataque por dicho port TCP445. Y logrando a mano cortar el ataque para poder descargar los parches, además de eliminar el virus, hemos procedido a implementar en la utilidad ELISASSA.EXE dos opciones, con las que, si es necesario, controlar dicho port y evitar el ataque para no iniciar la cuenta atrás.
Para ello el nuevo ELISASSA.EXE v1.2b dispone de las opciones STOP y START con las cuales detener la intrusion y restaurar acceso en los casos que ello sea necesario.
Por tanto, en los casos que por falta de parches se inicie la cuenta atrás cuando se accede a Internet, sib tener el virus en el ordenador gracias al antivirus, pero reciniendo el ataque por falta de los parches, podrá obrarse de la siguiente forma:
1. Desconectar el cable de Internet
2. Arrancar el ordenador
3. Lanzar el ELISASSA.EXE /STOP , lo cual ofrecerá el mensaje de BLOQUEADA INTRUSION REMOTA , el cual debe Aceptarse.
4. Conectar el cable de Internet
5. Actualizar los parches
6. Ejecutar ELISASSA /START lo cual debe mostrar el mensaje de SISTEMA DESBLOQUEADI y Aceoptar
Tras lo cual ya no deberá encontrar a faltar los parches y tampoco virus, eliminado anteriormente si lo huebiera habido
Lo cual permitirá salvar el gran handicap que existía con este virus en los ordenadores con antivirus pero sin parches, atacados por este virus y reiniciando al tener acceso a Internet.
Esta version del EliSassa.exe v 1.2b ya está disponible en esta web.
saludos
ms, 04-05-2004
msc hotline sat Virus Research Engineer