|
La experiencia de un usuario con el Sasser
|
|
VSantivirus No. 1404 Año 8, lunes 10 de mayo de 2004
La experiencia de un usuario con el Sasser
http://www.vsantivirus.com/experiencias-sasser.htm
Nota VSA: Este artículo fue publicado en los foros de seguridad de Microsoft, y nos fue remitido por uno de nuestros lectores. Solicitada la autorización al autor para su publicación, lo ponemos a la disposición de todos, en la consideración que esta experiencia seguramente será provechosa a otros.
Redacción VSAntivirus
vsantivirus@videosoft.net.uy
A propósito del Sasser, pruebas realizadas y conclusiones.
Por Juan Carlos Haces Gil Montfort
Trabajo en el área de sistemas en una empresa que se dedica a la comercialización. En el corporativo contamos con casi 300 equipos, en donde algunos son portátiles y están asignados a directores, gerentes y jefes de departamentos.
A raíz del problema con el Sasser se nos infectaron dos equipos. De estos, uno está asignado a un director y como coincidencia éste mismo equipo fue afectado por el Blaster el año pasado. Desafortunadamente no nos fue posible formatear el equipo ya que el usuario se negó a ello y por más argumentos que utilizamos su respuesta fue siempre la misma; "NO". De más está mencionar que aunque le corrimos parches, antivirus y el equipo ya no presentaba el Blaster, éste fue uno de los que mayor número de problemas presentaron hasta hace unos días (cuelgues, reincidencia de virus, espías, etc.).
Regresando al tema, ahora con ésta infección del Sasser y utilizando otros argumentos, nos dimos el lujo de formatear la computadora y de pasada hacer unas pruebas (motivadas por unos mensajes en los foros en los que se hace referencia al cortafuegos del XP), mismas que les detallo a continuación:
1. Instalación limpia del XP.
2. Instalación del parche para el Blaster.
3. Pruebas activando y desactivando el cortafuegos del XP, todo correcto.
4. Conexión a Internet por medio de ADSL sin poner el parche para el Sasser.
5. Ya conectado a Internet desactivación del cortafuegos.
6. Ni cinco minutos y el equipo ya estaba reiniciando con el mensaje de error en LSA Shell, etc., etc., etc.
7. Reinicio de la computadora sin conectar a Internet.
8. Primer síntoma el equipo lento, y con el uso del CPU al 100%.
9. Segundo síntoma en el administrador de tareas se encontraban los procesos AVSERVE.EXE y AVSERVE2.EXE.
10. El equipo esta infectado con el Sasser (como era de esperarse).
11. Siguiendo con las pruebas se "removió" el Sasser utilizando la utilería FXSASSER.EXE de Symantec.
12. Se cargó el parche de Microsoft para el Sasser y se reinició el equipo.
13. Se activó el cortafuegos del XP. (pero en menos de dos segundos ya aparecía como desactivado).
14. Se activó el cortafuegos del XP. (pero en menos de dos segundos ya aparecía como desactivado).
15. Se activó el cortafuegos del XP. (pero en menos de dos segundos ya aparecía como desactivado).
16. Se activó el cortafuegos del XP. (pero en menos de dos segundos ya aparecía como desactivado).
17. Instalación del cortafuegos de Symantec (ya que el del XP no quiso o no pudo funcionar).
18. Conexión a Internet con actualizaciones críticas y cortafuegos de terceros instalado.
19. En menos de cinco minutos el cortafuegos detectó y bloqueó 72 intentos de salida a Internet por procesos de los que nunca había escuchado y algunos cuántos que trataron de entrar desde Internet (desgraciadamente por la euforia de la prueba no saqué copia del log).
20. Desconexión de Internet, formateo, instalación en limpio del XP y por último parches y actualizaciones críticas.
21. Instalación del cortafuegos de Symantec y conexión a Internet.
22. Después de esto y de una hora de estar conectado y usando el equipo, el cortafuegos detectó algunos intentos de salida (los normales, al utilizar la ayuda de Windows por ejemplo) y otros tantos de entrada desde Internet.
23. Conclusiones:
a. Una vez que se infecta un equipo con el Sasser éste queda "tocado", aún después de remover el virus.
b. Aplicar el procedimiento que se documenta en la página de Microsoft no ayuda mucho (salvo para rescatar datos antes de formatear).
c. Cuando se hacen estas pruebas es importante sacar copias de los log's.
Me imagino que este tipo de pruebas ya las han realizado algunos de ustedes, pero me pareció interesante hacerlas por mí mismo, además no me tomó más de cinco horas hacer y deshacer con esto, aprovechando además para tener al usuario al lado, para que él mismo constatara lo que puede ocasionar el uso irresponsable de su herramienta de trabajo (espero no le deshabilite nuevamente el cortafuegos y ya no le preste el equipo a sus hijos).
Lo anterior no lo expongo con el ánimo de ofender a nadie, ni de causar polémicas e hilos interminables, únicamente para dar mi testimonio de lo que sucede antes y después de un ataque de este virus, y que cada quien saque sus propias conclusiones (las mías ya están detalladas). Además, me gustaría agregar que lo mejor en estos casos es la prevención o "curarse en salud" instalando parches y actualizaciones críticas antes y no después de una infección de cualquier virus.
Saludos a todos.
Juan Carlos Haces Gil Montfort
Más información:
Capturados autores del Sasser, del Netsky y del Agobot
http://www.vsantivirus.com/ev-captura-sasser.htm
Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm
W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm
W32/Sasser.C. Variante recompilada del Sasser.B
http://www.vsantivirus.com/sasser-c.htm
W32/Sasser.D. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-d.htm
W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm
El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm
Las consecuencias inmediatas del gusano Sasser
http://www.vsantivirus.com/ev04-05-04.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|