SOBRE W32/SASSER Y LA CUENTA ATRAS POR INTENTO DE INTRUSION

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

SOBRE W32/SASSER Y LA CUENTA ATRAS POR INTENTO DE INTRUSION

Mensaje por msc hotline sat » 04 May 2004, 15:10

Si bien inicialmente se ofrecia ka informacion que sigue, posteriormente, ante nuevos virus que aprovechan el mismo agujero de seguridad por falta de parches, como el Cycle, Stdbpt, Korgo, etc, se ha hecho una aplicacion generica mas comoda por controlarlos todos (no solo el SASSER) y preguntar si se quiere detener el intento de intrusion, sin tenerlo que especificar previamente. Se sugiere leer antes la informacion del siguiente link, y utilizar la herramienta alli ofrecida:

viewtopic.php?f=5&t=737

de todas formas, se mantiene a continuación la información inicial para el SASSER, al seguir siendo valida, aunque mas limitada.
__________________________________________


Ya se aclararon ayer en este foro unas cuantas incidencias con el SASSER, y con la utilidad ELISASSA.EXE, los parches de Microsoft y las actualizaciones de los antivirus estaba casi solucionado.

Pero el problema surge cuando una máquina XP o W2000 tiene el antivirus actualizado pero no tiene aplicados los parches de Microsoft, o por lo menos no tiene el MS04-011 que es el de la vulnerabilidad explotada por dicho virus.

En tal caso el SASSER no llega a entrar gracias al antivirus, pero la falta de parches no impide el intento de intrusión, lo cual provoca un ERROR de Windows que inicia la cuenta atrás del apagado del sistema.

En las máquinas con ADSL en las que la conexion a Internet se realiza incluso antes de terminar de arrancar Windows, aunque no se haya lanzado el Internet Explorer para navegar, ya desde antes de arrancar puede aparecer la pantalla azul con el contador de apagado, sin posibilidad de ejecutar nada ni acceder a Internet para bajar los parches.

Por ello hemos potenciado la utilidad ELISASSA.EXE Con la v 1.2b, que dispone opcionalmente de dos opciones: STOP y START, para detener el intento de intrusión, y para desbloquear el port de acceso, TCP 445, en los casos que el reinicio sea inmediato al encendido del ordenador, y que no puedan descargarse los parches, lo cual pasa incluso arrancando en modo seguro con funciones de red, pues el virus no está siendo cargado desde el registro de sistemam sino que intenta entrar por intrusión desde Internet.

En estos casos, podremos proceder así:

1. Desconectar el cable de ADSL

2. Encender el ordenador

3. Ejecutar desde Inicio/Ejecutar o desde una ventana al DOS, la instruccion ELISASSA /STOP y ante el mensaje de DETENIDO EL INTENTO DE INTRUSION, darle a Aceptar.

4. Conectar el cable de ADSL y bajar los parches conectando con http://www.windowsupdate.com , o por lo menos el MS04-011
desde: http://www.microsoft.com/en/us/default. ... 4-011.mspx

5. Una vez instalado, ejecutar ELISASSA /START o reiniciar el ordenador, que ya restablecerá la normalidad y lanzando de nuevo el ELISASSA y en ambos casos ver que ya no encuentra a faltar parches ni detecta el virus.

Con ello estará solucionado el problema.

SE RECUERDA QUE LA UTILIDAD SE PUEDE DESCARGAR DE: http://www.zonavirus.com/descargas/elitriip.asp

saludos

ms, 04-05-2004
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”