1. ¿Cómo saber si mi PC está infectado?
2. ¿Qué daño puede causar Sasser a mi PC?
3. ¿Cuáles versiones de Windows son vulnerables al ataque?
4. ¿Cómo puedo proteger mi computadora de éste gusano?
5. ¿Que es un cortafuegos y donde puedo obtenerlo?
6. ¿Cómo instalo los parches de Windows?
7. No puedo descargar los parches de Microsoft porque mi computadora se reinicia constantemente.
8. ¿Qué hago si mi computadora ya está infectada por el gusano Sasser?
9. Ya quité el gusano Sasser pero mi computadora se vuelve a infectar.
10. ¿Porqué si he quitado el gusano, aún me piden que debo formatear mi equipo?

1. ¿Cómo saber si mi PC está infectado?

El síntoma típico es que el sistema se reinicia cada pocos minutos sin ninguna acción del usuario.

En Windows XP, puede mostrarse una ventana con un mensaje muy similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos los inconvenientes ocasionados.

En Windows 2000 aparece una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster o Lovsan:

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

Además, en la mayoría de los sistemas infectados, el rendimiento del mismo se degrada notoriamente, debido a que el gusano lanza 128 tareas simultáneas.

2. ¿Qué daño puede causar Sasser a mi PC?

Este gusano no provoca ningún daño a los archivos locales de las computadoras infectadas, tampoco borra o cambia datos en las mismas.

Sasser afecta el servicio de Internet debido principalmente al excesivo tráfico que genera durante su intento de infección. Como resultado, los canales de transmisión pueden saturarse y el servicio de Internet será lento e intermitente.

Sin embargo, al utilizar un acceso shell y dejar abierto un servidor FTP en la máquina infectada, las posibilidades de que herramientas creadas por piratas informáticos puedan provocar daños impredecibles al sistema infectado son muy grandes.

3. ¿Cuáles versiones de Windows son vulnerables al ataque?

Las siguientes versiones de Windows son vulnerables al ataque del Sasser:

Windows 2000 SP2, SP3 y SP4
Windows XP y Microsoft Windows XP Service Pack 1
Windows XP 64-Bit Edition Service Pack 1
Windows XP 64-Bit Edition Version 2003

No son vulnerables:

Windows NT Workstation 4.0 Service Pack 6a
Windows NT Server 4.0 Service Pack 6a
Windows NT Server 4.0 Terminal Server Edition SP6
Windows Server 2003
Windows Server 2003 64-Bit Edition
Windows 95, 98, 98 SE y Me

4. ¿Cómo puedo proteger mi computadora de éste gusano?

Usted debe seguir los siguientes pasos para minimizar el riesgo de infección con el Sasser:

a. Actualizar su programa antivirus y no desactivarlo mientras este conectado a Internet.

b. Instalar un cortafuegos personal y bloquear los puertos 445, 5554 y 9996 (cortafuegos como ZoneAlarm y otros, bloquean estos puertos sin necesidad de que usted lo deba indicar, si lo instala como se explica en nuestras páginas http://www.vsantivirus.com/za.htm).

c. Descargar y aplicar los parches recomendados por Microsoft para eliminar la vulnerabilidad LSASS.

Recuerde que la descarga y aplicación de los parches de Microsoft son importantes ya que estos evitarán que su computadora sea atacada mediante la vulnerabilidad LSASS.

5. ¿Que es un cortafuegos y donde puedo obtenerlo?

Un cortafuegos es un programa especial que lo protege contra intrusos controlando la transferencia de datos entre Internet y su computadora. Un cortafuegos filtra programas y paquetes maliciosos. Además previene la conexión de aplicaciones del área protegida hacia Internet.

Para usuarios caseros recomendamos:

Cortafuegos gratuitos para uso personal:

ZoneAlarm
http://www.vsantivirus.com/za.htm

Outpost Firewall
http://www.protegerse.com/outpost/

Kerio Personal Firewall
http://www.beeeeee.net/nautopia/kerio3.htm

En Windows XP, puede utilizar el cortafuegos integrado: Internet Connection Firewall (ICF)

Para activar ICF en Windows XP, siga estos pasos:

a. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.

b. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.

c. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".

d. Seleccione Aceptar, etc.

Cortafuegos de pago:

Kaspersky Anti-Hacker
http://www.kaspersky.com/buyonline.html?chapter=964564

McAfee
http://us.mcafee.com/root/offer/default.asp?id=
4705&affid=0&cid=&lpname=offer%5F470%2Easp

Symantec
http://www.symantec.com/sabu/nis/npf/

ZoneAlarm Pro
http://www.zonelabs.com/store/content/catalog/products/zap/zap_details.jsp

Tiny Personal Firewall
http://www.tinysoftware.com/home/tiny2?la=EN

Outpost Firewall
http://www.protegerse.com/outpost/

Kerio Personal Firewall
http://www.kerio.com/us/kpf_download.html

BlackICE PC Protection
http://blackice.iss.net/product_pc_protection.php

6. ¿Cómo instalo los parches de Windows?

Los parches MS04-011, pueden ser descargados de los siguientes enlaces:

Microsoft Windows 2000 SP2, SP3 y SP4
http://www.microsoft.com/downloads/details.aspx?FamilyId=
0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=es

Microsoft Windows XP and Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=
3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es

Solo necesita descargarlos y ejecutarlos en su equipo desconectado de Internet. Un asistente lo guiará durante el proceso de instalación.

7. No puedo descargar los parches de Microsoft porque mi computadora se reinicia constantemente.

En caso de que su computadora se reinicie en forma continua, lo mas probable es que esté infectada por el gusano Sasser. En ese caso aplique el proceso para borrar manualmente el gusano como se indica en las siguientes descripciones:

W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm

W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm

W32/Sasser.C. Variante recompilada del Sasser.B
http://www.vsantivirus.com/sasser-c.htm

W32/Sasser.D. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-d.htm

W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm

Luego active al menos el cortafuegos integrado (en el caso del XP), antes de conectarse para descargar los parches mencionados.

8. ¿Qué hago si mi computadora ya está infectada por el gusano Sasser?

En este caso usted debe verificar que su antivirus esté actualizado y ejecutar un escaneo completo a todos sus discos.

9. Ya quité el gusano Sasser pero mi computadora se vuelve a infectar.

Los procedimientos de limpieza, sirven justamente para eso, "limpian" o remueven el gusano del equipo infectado, pero no lo protegen de ataques posteriores. Usted deberá aplicar los parches de Microsoft, y seguir las recomendaciones ya explicadas (antivirus al día, cortafuegos, etc.).

10. ¿Porqué si he quitado el gusano, aún me piden que debo formatear mi equipo?

Este gusano crea un shell (una consola de comandos), que puede permitir el ingreso de casi cualquier tipo de instrucción que comprometa a nuestro sistema. También abre un servidor FTP que permite el acceso a cualquier archivo. Y no hay nada que nos asegure que por borrar al Sasser de nuestro sistema, nos libraremos de la posibilidad de que alguien haya dejado otro regalo en nuestra computadora.

Por otra parte, no hay forma de saber cuántas modificaciones del exploit del que se vale el gusano (en realidad utiliza dos), están dando vueltas por Internet, y cuantas formas maliciosas pueden llegar a crearse a partir de los mismos.

Por ello, detectar una infección con el gusano Sasser, ameritaría no solo la limpieza del sistema infectado, sino la completa reinstalación del mismo (y posterior actualización de los parches e instalación o activación de un cortafuegos), como única forma de asegurarnos contra las posibles consecuencias.

La infección con el Sasser debe ser tomada como una señal de alarma. Si ocurre, hay que seguir estos pasos:

a. Borrar el gusano como se indicó antes.

b. Respaldar la información importante (no los programas)

c. Formatear nuestros discos para asegurarnos de que el sistema está limpio realmente, y reinstalar el sistema operativo y todos los programas.

d. MUY IMPORTANTE: instalar el parche correspondiente, y activar un cortafuegos, además de mantener al día nuestros antivirus.

Relacionados:

Sistema comprometido: "derribar y reconstruir"
http://www.vsantivirus.com/derribar-reconstruir.htm

El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm

MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm

W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm

W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm

W32/Sasser.C. Variante recompilada del Sasser.A
http://www.vsantivirus.com/sasser-c.htm

W32/Sasser.D. Nueva variante del gusano
http://www.vsantivirus.com/sasser-d.htm

W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm

Capturados autores del Sasser, del Netsky y del Agobot
http://www.vsantivirus.com/ev-captura-sasser.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com