IMPORTANTE!!! Para los que tiene el bug de LSASS

Z3R0KULL

Nombre: W32/Sasser.A
Tipo: Gusano de Internet
Alias: Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A,
WORM_SASSER.A
Plataforma: Windows NT, 2000, XP
Fecha: 1/may/04
Tamaño: 15,872 bytes (PECompact)
Puertos: TCP 445, 5554 y 9996

Se trata de un gusano de redes, programado en Visual C++, que
se propaga explotando la vulnerabilidad en el proceso LSASS
(Local Security Authority Subsystem), reparada por Microsoft
en su parche MS04-011 (
Afecta computadoras que corran bajo Windows XP o 2000, sin el
parche MS04-011 instalado.

LSASS controla varias tareas de seguridad consideradas
críticas, incluyendo control de acceso y políticas de
dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de búfer que
ocasiona un volcado de pila, explotable en forma remota. La
explotación de este fallo, no requiere autenticación, y puede
llegar a comprometer a todo el sistema. La naturaleza de esta
vulnerabilidad, se presta a ser explotada por un gusano o
virus informático, capaz de propagarse por las redes, y
"Sasser" es el primero que la utiliza.

El gusano se copia a si mismo en la carpeta de Windows con el
siguiente nombre:

c:\windows\avserve.exe

NOTA: La carpeta "c:\windows" puede variar de acuerdo al
sistema operativo instalado ("c:\winnt" en NT, "c:\windows",
en 9x, Me, XP, etc.).

También crea el siguiente archivo:

c:\win.log

Modifica la siguiente entrada en el registro para
autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
avserve = c:\windows\avserve.exe

El gusano inicia 128 hilos de ejecución para escanear
direcciones IP seleccionadas al azar por el puerto TCP/445,
buscando sistemas vulnerables (TCP/445 es el puerto por
defecto para el servicio vulnerable).

Esto ocasiona a veces, el fallo de las computadoras que no
tienen el parche MS04-011 instalado.

En Windows XP, se muestra una ventana con un mensaje muy
similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 puede aparecer una ventana casi idéntica a la
provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza
diferentes exploits para Windows XP y Windows 2000 (exploit
universal), y para Windows 2000 Advanced Server (SP4
exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos),
es iniciado en el puerto TCP/9996.

A través del shell, se instruye al equipo remoto a descargar
y ejecutar el gusano desde la computadora infectada,
utilizando el protocolo FTP. Para ello, se crea y ejecuta en
dicho equipo un script llamado CMD.FTP. El script descarga y
ejecuta a su vez al gusano propiamente dicho (con el nombre
#_UP.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/5554 en todos los
equipos infectados, con el propósito de permitir la descarga
del gusano en otros sistemas que así también son infectados.

El archivo C:\WIN.LOG registra todas las transacciones FTP
realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de
una vez en memoria:

Jobaka3l

EDITADO:Sorry no sabia que ya habian abierto otro post en HW. Cerrad este :)

Guiropa

Na tranquilo, q yo me he colado de foro al abrirlo. A ver si alguien encuentra una solucion buena xq no para de darme x el culo ya el puto gusano

JaVi_TuNeR

#2 yo e hecho esto y ha dejado de darme problemas:

1º-eliminar esta entrada: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe

2º-eliminar tmabien estas entradas: c:\WINDOWS\system32\11583_up.exe
c:\WINDOWS\system32\16913_up.exe

(los numeros pueden ser distintos pero todos acaban en _up.exe son unos 4 o 5 archivos)

3º e buscado en C:\WINDOWS\system32 el archivo LSASS.EXE y como no m dejaba eliminarlo e reiniciado, y rapidamente e buscado ese archivo y le he cambiado el nombre (escribir lo que sea)

Z3R0KULL

#3 y si pruebas a descargarte la actualizacion de windows update???

JaVi_TuNeR

#4 me baje el parche y nada

Z3R0KULL

Pues yo con el parche instalao no he tenido ningun problema. Ponte tb un fire, aunque sea el de xp.

Usuarios habituales

  • Z3R0KULL
  • JaVi_TuNeR
  • Guiropa