Sasser E

CARACTERISTICAS
Existe una posible infección cuando se producen continuos reinicios de Windows por error en el proceso LSASS.EXE, y además existe el siguiente archivo en el sistema:

c:ftplog.txt

Se genera tráfico excesivo en los siguientes puertos TCP:

445, 1022 y 1023

Análisis:

El gusano es un archivo de 15,872 bytes.

Se copia a si mismo en la carpeta de Windows con el siguiente nombre:

c:windowslsasss.exe

NOTA: La carpeta “c:windows” puede variar de acuerdo al sistema operativo instalado (“c:winnt” en NT, “c:windows”, en 9x, Me, XP, etc.).

También crea los siguientes archivos:

c:ftplog.txt
c:windowssystem32#_update.exe (varias copias)

Donde # es un número de cinco dígitos.

Modifica la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
lsasss.exe = c:windowslsasss.exe

El gusano inicia 128 hilos de ejecución para escanear direcciones IP seleccionadas al azar por el puerto TCP/445, buscando sistemas vulnerables (TCP/445 es el puerto por defecto para el servicio vulnerable).

Esta versión es capaz de escanear más de 5,120 direcciones por segundo.

Esto ocasiona a veces, el fallo de las computadoras que no tienen el parche MS04-011 instalado.

Esta versión utiliza una de las APIs de Windows (rutinas utilizadas para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo del equipo), para intentar evitar que la computadora se reinicie (efecto provocado por la infección). El gusano llama a esta API una vez por segundo durante las primeras 2 horas, y luego muestra el siguiente mensaje:

1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar
the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS
patch from the www.microsoft.com website
4. This is an message from the SkyNet Team for
malicious activity prevention

Luego de ello, Windows XP, puede mostrar una ventana con un mensaje muy similar al siguiente:

LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos mucho el inconveniente.

En Windows 2000 se muestra una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHYSYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
El proceso del sistema
C:WINNTsystem32lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.

El gusano detecta la versión del sistema operativo, y utiliza diferentes exploits para Windows XP y Windows 2000 (exploit universal), y para Windows 2000 Advanced Server (SP4 exploit).

Windows 9x, Me y NT, no son vulnerables.

Si el ataque es exitoso, un shell (intérprete de comandos), es iniciado en el puerto TCP/1022.

A través del shell, se instruye al equipo remoto a descargar y ejecutar el gusano desde la computadora infectada, utilizando el protocolo FTP. Para ello, se crea y ejecuta en dicho equipo un script llamado CMD.FTP. El script descarga y ejecuta a su vez al gusano propiamente dicho (con el nombre #_UPDATE.EXE), provocando la infección.

El servidor FTP escucha por el puerto TCP/1023 en todos los equipos infectados, con el propósito de permitir la descarga del gusano en otros sistemas que así también son infectados.

El archivo C:FTPLOG.TXT registra todas las transacciones FTP realizadas.

El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:

SkynetNotice

Esta variante, intenta borrar del registro las siguientes entradas creadas por el gusano Bagle:

HKCUSoftwareMicrosoftWindows
CurrentVersionRun
“ssgrate.exe”
“drvsys.exe”
“Drvddll_exe”

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
“ssgrate.exe”
“drvsys.exe”
“Drvddll_exe”

El uso de un cortafuego personal, disminuye el riesgo de infección.

> INSTRUCCIONES PARA ELIMINARLO
1. Descargue e instale el parche MS04-011 y luego reinicie el equipo:

Microsoft Security Bulletin MS04-011
www.microsoft.com/technet/security/bulletin/ms04-011.mspx

2. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

3. Elimine bajo la columna “Nombre”, la entrada “lsasss.exe”, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun

4. Cierre el editor del registro.

5. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

¡Detenido el autor del virus SASSER!

Sasser no llega por correo electrónico ni necesita ser ejecutado con un doble clic por un usuario desprevenido para infectar una computadora. Solo basta que la computadora esté conectada a Internet sin la protección de un cortafuego, y que esté ejecutando una versión de Windows XP o 2000 sin los últimos parches de seguridad de Microsoft instalados.

Se estiman en más de 18 millones de equipos infectados apenas 72 horas después de la primera infección, ocurrida un sábado, cuando además en la mayoría de los países era feriado por conmemorarse el día de los trabajadores. Por esta razón, recién el lunes, cuando empresas y organizaciones comenzaron su jornada habitual de trabajo, se empezó a sentir todo el impacto y el verdadero alcance de la infección.

Sasser hace que las computadoras infectadas se reinicien continuamente, impidiendo no solo su uso normal, sino también dificultando las tareas de desinfección.

El arresto se produjo el viernes, en Rotenburg, al norte de Alemania, y recién fue informado a la prensa en la mañana del sábado, curiosamente una semana después de la primera infección del virus.

Los investigadores secuestraron varias computadoras y numerosos discos en el hogar del estudiante, y según los pocos datos obtenidos, el joven trabajaría en forma solitaria.

La identidad del adolescente no ha sido divulgada, aunque el periódico alemán Der Spiegel informó que la CIA y el FBI habían basado su investigación y posterior búsqueda entorno a un sospechoso conocido como “Sven J”, el cuál sería el seudónimo del joven ahora capturado.

Un portavoz de la policía dijo a la BBC, que el arrestado había confesado su culpabilidad, al mismo tiempo que los expertos de Microsoft que colaboran en la investigación coordinada con el FBI, confirmaban su autoría.

Hoy se brindará una conferencia más extensa sobre el tema, según informa la policía alemana.

La BBC dice que las autoridades se manejan con la teoría que el estudiante ha actuado solo, y no es parte de una red más extensa, como algunos teorizan.

La oficina del gobierno alemán que maneja la seguridad tecnológica en ese país, ha dicho que existen cuatro versiones del Sasser, y no está claro si el adolescente es el autor de todas ellas.

Según un vocero, la primera versión fue creada por un aficionado. Las últimas tienen ciertas diferencias en su capacidad para causar más daño comparado con la primera.

El Sasser afectó a bancos, hospitales, agencias de gobierno, aerolíneas, ferrocarriles, y millones de usuarios domésticos en el mundo entero, causando daños colaterales de billones de dólares, según algunas estimaciones.

Algunos expertos y laboratorios antivirus, creen que el autor del Sasser está relacionado con el Netsky, el gusano con el mayor número de equipos infectados en los últimos meses, y en los primeros puestos en la mayoría de los países incluida España y Latinoamérica.

Los portavoces de la policía no han confirmado que se haya estado investigando a este estudiante por su relación con ese otro gusano, pero confirman que no se descarta seguir todas las pistas que aparezcan al respecto.

Revoltec desembarca en España de la mano de Sistemas Ibertrónica

El fabricante de productos informáticos para la personalización del ordenador, Revoltec (Revolution Technology) acaba de presentar su nueva página web en español: www.revoltec.es. Desde noviembre de 2003, Sistemas Ibertrónica es distribuidor exclusivo en España de esta firma, motivo por el que también se hace eco de esta presentación y ha ofrecido su soporte comercial y logístico a Revoltec.

De esta forma, Revoltec inicia una nueva etapa en nuestro país con el fin de popularizar la marca y lograr un mayor posicionamiento de sus productos.

Desde 2003, Revoltec, fabrica y distribuye componentes para ordenadores personales y productos “modding” para realizar modificaciones creativas a los PCs. Todos los productos Revoltec son extraordinarios en cuanto a diseño, prestaciones y presentación y vienen empaquetados de forma homogénea para que se puedan identificar rápidamente y apreciar claramente sus características.
Revoltec es ya una marca reconocida gracias a sus diseños “tattoo” y entre su amplia oferta de dispositivos destacan las cajas para ordenador, componentes con luces, cables, ventiladores, sistemas de refrigeración y accesorios de todo tipo para la personalización de PCs, tendencia cada vez más extendida entre los usuarios. La propuesta de Revoltec se basa en ofrecer diseños extraordinarios que se distinguen claramente de otros fabricantes, al ritmo del avance de las nuevas tecnologías y con el objetivo de satisfacer la creciente demanda del mercado.

Desde la pasada edición del SIMO, en que Sistemas Ibertrónica y Revoltec firmaron el acuerdo exclusivo de distribución, los productos Revoltec, han ido afianzándose y posicionándose poco a poco en nuestro país. Debido a la gran aceptación e interés obtenidos por los productos Revoltec en el mercado español, el fabricante ha decidido dar ahora un paso más, abriendo una página web propia, dirigida particularmente al usuario final.

La nueva página web www.revoltec.es, operativa desde mediados de abril de 2004, permite a los usuarios ver su amplia oferta de productos, consultar precios y conocer los puntos de venta más cercanos dentro de su población. Además, la compañía ha avanzado que en breve quedará activado un servicio de compra online, por lo que si lo desean, podrán hacer sus pedidos directamente desde casa.

WebCam y grabadora de voz digital de la mano de Speed2

Speed 2, mayorista importador de productos informáticos de primeras marcas desde 1992, así como fabricante de equipos Karson Computers®, acaba de anunciar la comercialización del último modelo de la firma Yukai, presentado en CeBIT: la cámara multifunción Gsmart D50.



Esta cámara multi-función digital está dotada de pantalla LCD de 1.5” y salida para televisión. También incorpora una memoria flash de 16MB para el almacenamiento de las fotos, que, además, es ampliable gracias al slot integrado para SecureDigital y MultiMediaCard.

La Gsmart D50 gracias a su conexión USB 2.0 integrada, resulta también un práctico dispositivo de almacenamiento externo, muy parecido a un disco extraíble; y con el que se pueden transferir datos al ordenador de una manera rápida y fácil. Dotada con una función “Macro” y “Video Clip”, es extremadamente compacta y ligera; Una cámara versátil y cómoda para cualquier utilización, que gracias a sus reducidas dimensiones y protector para las lentes puede llevarse hasta en el bolsillo.

Especificaciones técnicas
· Funciones DSC: Cámara digital, cámara vídeo, Webcam, grabadora de voz digital.
· Resolución (por modos):
-Fino: 2720 x 2040 (HW mejorado)
-Normal: 2048 x 1536
-Económico: 1024 x 768
· Video Clip: 20 fps: 320 x 240.
· Sensor de imagen: sensor CMOS de 3.1 megapíxeles.
· Pantalla: 1.5” TFT LCD.
· Memoria interna: 16 MB Flash incorporada
· Memoria externa: solt para tarjetas SD/MMC.
· Formato de archivos: JPEG, AVI, WAV.
· Lentes: Fijas (lentes de 6 cristales) / f = 9 mm.
· Rango de enfoque: 25 – 35 cm (macro); 70 cm al infinito (normal).
· F. No.: 3.0
· Zoom Digital: x 4.
· Interfaz: USB / salida TV.
· Flash: Detector de foto, tipo IGBT; encendido / auto /ojos rojos / apagado.
· Disparo automático: temporizador de 10 segundos de retardo.
· Velocidad de disparo: de 1/15 a 1/2,500 segundos disparador mecánico.
· Función de grabación de voz: Sí
· Sistemas operativos: Win98SE/ME/2000/XP.
· Alimentación: 1.5 v AAA alcalinas x 2; a través de puerto USB del PC.
· Dimensiones: 86 x 42 x 34 mm .Peso: 92 gramos.
· Dispositivo de almacenamiento: Disco USB portátil.
· Accesorios: Driver CD, incluye AP CD, cable USB y Video, guía rápida de instalación, bolsa para la cámara.
· Requisitos mínimos del sistema: Procesador Pentium 166 MHz o superior, Microsoft Windows 98SE/ME/2000/XP, puerto USB disponible, tarjeta Super VGA y monitor color, lector CD-Rom o DVD-ROM, como mínimo 64 MB RAM, y 200 MB de espacio libre en el disco duro.

¿Cómo engañar al virus SASSER?

Como os hemos venido informando estos dias anteriores, este virus se caracteriza por la celeridad en la que el mismo reinicia el equipo y lo que imposibilita a veces descargar los parches y actualizaciones necesarias para solucionar este problema.
Desde Panda Software, informan de un truco para evitar esta circunstancia:

  • Cuando aparezca la ventana indicando que el sistema va a reiniciarse, hacer doble click sobre las cifras horarias que se muestran en la parte inferior derecha del monitor.
  • Tras abrirse la pantalla de configuración horaria poner, en el recuadro en el que aparece la hora y minutos, unas horas de retraso respecto a la que aparece.

    Con este sencillo truco dispondremos del tiempo necesario para efectuar las descargas precisas.

    Espero que os sea de utilidad. Recordad que en la web disponeis de los enlaces para descargar los parches necesarios para tu Sistema Operativo y una herramienta específica de desinfección.

    Salu2

  • Próxima versión de MP3 marcará los archivos para identificar usuarios

    La próxima versión de MP3 marcará los archivos para indentificar los usuarios lo que permitirá rastrear la red en busca de aquellos usuarios que intercambian los mismos en la red. Así este nuevo formato incluye una característica llamada LWDRM (Dubbed Light Weight Digital Rights Management) que marca estos archivos digitalmente.



    Bill Gates afirma que el PC de encendido instantáneo pronto será una realidad Durante la conferencia WinHEC, el presidente de Microsoft mostró un “Boot PC” de encendido/apagado instantáneo, afirmando que en un corto espacio de tiempo será una realidad para cualquier usuario.

    AMD: Líder en PC´s de escritorio así en EEUU en la semana del 17 al 24 de abril, AMD vendió más chips que Intel, a ello también ha influido que HP empiece a vender equipos con ese chip. De todas formas Intel domina el 61% del mercado total del PC, y el 81% de los portátiles. En el mercado de servidores, la diferencia sube a un 90% a favor de Intel.

    Panda explica como engañar al virus Sasser Debido a la celeridad con que este virus reinicia el equipo infectado, a veces no es posible descargar los parches y actulizaciones necesarios para combatir este virus. Panda ha informado que un truco para poder evitar este reinicio tan inmediato consiste en lo siguiente:
    – Cuando aparezca la ventana indicando que el sistema va a reiniciarse, hacer doble click sobre las cifras horarias que se muestran en la parte inferior derecha del monitor.
    – Tras abrirse la pantalla de configuración horaria poner, en el recuadro en el que aparece la hora y minutos, unas horas de retraso respecto a la que aparece.
    Con este sencillo truco podremos disponer del tiempo necesario para bajar todos los parches y actualizaciones necesarios.

    El número de sitios web supera ya los 50 millones exactamente 50.550.965, tan sólo 13 meses después de superar la barrera de los 40 millones. Como curiosidad en el año 1997 sólo existian 1 millón de páginas web.

    Hasta mañana!!

    Emule 0.42g Oficial

    Hola, acaba de salir una nueva versión de Emule: la 0.42G. Esta actualización corrige un error de la anterior versión que podía producir un cuelgue cuando se abre la ventana de Transferencias.

    En caso de que no experimentes cuelgues no es necesario que actualices.

    Descarga Emule 0.42g

    Nero 6.3.1.10

    Nero 6.3.1.10 Actualización de quizás la mejor suite de grabación existente, en la que se ha añadido compatibilidad con las más recientes grabadoras y solucionado bugs de anteriores versiones.
    La actualización ocupa algo más de 26 megas que puedes descargar pinchando en este Enlace



    McAfee VirusScan instala módulos ActiveX inseguros así lo afirma el experto en seguridad informática Jonathan Payne. Esta vulnerabilidad sólo afecta a la versión descargable online desde la web de Mcafee no desde la instalación del producto desde el cd.
    Así, se instalan una serie de controles ActiveX inseguros, que podrían permitir a intrusos acceder al PC donde se ha instalado la versión de prueba.
    La compañía danesa de seguridad informática CSIS ha probado el código bajo Windows 2000 con IE 6.0 y confirma que el error puede ser usado para leer ficheros y otros contenidos del sistema local.

    mIRC Power Pack 7.00 especialmente diseñado para “jugones” este script incluye 5 juegos, te permite hasta 20 conexiones con servers IRC con nicks distintos, y nuevas protecciones. Descarga mIRC Power Pack 7.00

    Spybot Search and Destroy 1.3 RC5 nueva actualización de esta utilidad que te permite tener tu PC limpio de spyware. Esta utilidad es gratuita y se actualiza la base de datos de spyware muy a menudo y también detecta entradas en el registro incorrectas, que las identifica como tales y te permite actuar de forma individual sobre ellas. Descarga Spybot Search and Destroy 1.3 RC5

    Esto es todo por hoy, mañana más novedades. Un saludo

    1 485 486 487 488 489 492