Ahora se ha confirmado que Sasser es un problema para muchos usuarios, y ahora es una variante de sexta o séptima generación. Afortunadamente, todos se pueden eliminar utilizando el mismo método. Este artículo le enseñará cómo eliminarlo a mano, cómo eliminarlo con herramientas y cómo evitar que vuelva a infectarse. Sasser es un ataque de denegación de servicio que amenaza todas las versiones de Windows 2000 y Windows XP además de la versión de 64 bits de XP. Estos sistemas Windows tienen una vulnerabilidad conocida LSASS, un desbordamiento de búfer en el servicio del sistema de autorización de seguridad local. Sin embargo, solo los sistemas operativos Windows 2000 y XP son vulnerables a las ondas de choque. Las versiones más antiguas de Windows pueden ejecutar ondas de choque, pero el sistema no se infectará a menos que cargue específicamente el código del gusano en su PC. La situación actual
Aunque la policía alemana ha secuestrado a las personas que hicieron y propagaron los gusanos, la infección en sí continúa causando un daño enorme, porque incluso infecta los sistemas desatendidos, y continuará Infecta el sistema hasta que el sistema corrige posibles vulnerabilidades. Sin embargo, este es un gran desafío porque el sistema infectado se reiniciará, lo que hace imposible que las máquinas infectadas descarguen parches o naveguen por la web para encontrar una solución. Además de tener un firewall configurado correctamente (bloqueando los puertos TCP 445, 5554 y 9996) en su lugar, el parche provisto en el boletín de seguridad de Microsoft MS04-011 es la única forma de proteger el sistema de una nueva infección. Hay muchos sistemas que todavía tienen vulnerabilidades porque muchos usuarios no tienen una buena experiencia en la instalación de parches. El artículo 835732 de Microsoft Knowledge Base contiene problemas conocidos con este parche, incluido el cierre completo de algunos sistemas Windows 2000 debido al comportamiento de procesamiento del sistema y la incapacidad de algunos usuarios para iniciar sesión en Windows después de que el sistema se haya revisado. Oracle tiene problemas con el sistema W2K ya parcheado. Para el sistema XP que ha sido parchado, el único problema importante es la incapacidad de ver algunos de los archivos gráficos creados con Adobe Illustrator. Prepararse para eliminar una onda de choque es un proceso que requiere varios pasos para implementarse. El primer problema es cómo detener una computadora que se reinicia constantemente de forma automática, de modo que pueda ser lo suficientemente larga para descargar parches y /o descargas. Retire la herramienta. La siguiente es una lista de cómo Symantec enumeró la eliminación de todas las versiones de Sasser de la A a la F. Recuerde, se tarda unos 20 segundos en completar los pasos a continuación. 1. Desconectado de internet. 2. Reinicie. 3. Al inicio, haga clic en "Ejecutar" en "Inicio" tan pronto como sea posible, e ingrese "CMD" para abrir la interfaz de línea de comandos. 4. Ingrese shutdown - i en el indicador de DOS y presione Entrar. Esto abre el Panel de control para la administración remota de otros sistemas en la red, pero ahora necesita ingresar el nombre de su computadora. 5. Haga clic en "Agregar", ingrese su nombre y haga clic en "Aceptar". 6. Ahora cambie la configuración de retardo del mensaje de advertencia de los 20 (segundos) estándar a un número grande como 9999. Si está dispuesto a restablecer el tiempo de demora del mensaje de advertencia después de parchear. Esto deshabilitará temporalmente la secuencia de apagado, dándole tiempo suficiente para iniciar sesión en Internet y descargar parches. Para muchos usuarios, lo que los hace dudar es que sus máquinas no están conectadas a la red. ¿Por qué tienen nombres sus sistemas? Los nombres de los sistemas son asignados por usuarios con privilegios de administrador o se generan automáticamente. Para encontrar el nombre de su computadora, abra el Panel de control y haga clic en el ícono "Sistema". Ya que debe completar los pasos en el tablón de anuncios en 20 segundos o menos, debe determinar el nombre de su sistema antes de iniciar estos procedimientos. Para obtener información sobre el método para detener el reinicio periódico en el sistema XP, las instrucciones de uso de Microsoft le indican que simplemente escriba shutdown.exe -a en el símbolo del sistema. Si este comando está en efecto, el sistema terminará el proceso de apagado más rápidamente. Los pasos anteriores no son necesarios si puede descargar e instalar el parche. No forman parte de la técnica que se describe a continuación para eliminar el proceso de ondas de choque. Eliminar
Puede descargar una herramienta de eliminación de los sitios web de Symantec, F-Secure y otros proveedores de antivirus. Microsoft también tiene instrucciones de operación detalladas y una herramienta de prueba automatizada en la página que demuestra que está infectado con el virus Sasser y puede eliminar el virus. Si obtiene una de estas herramientas de eliminación automática, detendrá el proceso de reinicio, eliminará el archivo del gusano, borrará el registro y usará esta herramienta para eliminar el virus Sasser. Para dar un paso atrás, sería bastante engorroso utilizar un proceso manual. Debido a que algunos sistemas están tan estrechamente conectados al proceso de Sasser que su computadora ya no está disponible, incluso si está utilizando una herramienta de eliminación, los siguientes pasos de eliminación manual (que finalizan un proceso malicioso) aún pueden ser necesarios. Puede abrir el administrador de tareas y encontrar avserve2.exe, avserve.exe, skynetave y cualquier proceso que comience con una cadena de caracteres corta seguida de _up.exe (por ejemplo, XXXXX_up.exe), luego seleccione los nombres de estos procesos y haga clic en " Finalice el proceso "para terminarlos y mejorar el rendimiento del sistema. Dado que XP tiene funciones de almacenamiento automático en el sistema, esta función también debe desactivarse antes de eliminar cualquier gusano o virus, ya que esta es una herramienta de respaldo que mantendrá una copia de respaldo infectada si continúa ejecutándose. Symantec tiene una descripción completa de los pasos requeridos, pero los pasos básicos son verificar si la función Apagar el almacenamiento del sistema está desactivada en el cuadro de diálogo Sistema del Panel de control. La eliminación manual requiere que usted elimine todos los archivos que el programa antivirus considera relacionados con la onda de choque. Sasser ha cambiado el registro, lo que significa que tendrá que eliminar avserve2.exe "de las variantes HKEY_LOCAL_MacHINE \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run" = "% Windir% \\ avserve2.exe continuar
Newsfactor.com La compañía ha reportado una nueva infección, Dabber (package.exe) ataca la computadora a través de la onda de choque, elimina el gusano de la onda de choque y convierte la computadora en un servidor y establece una puerta trasera secreta en la computadora. Se han encontrado instrucciones para eliminar Dabber en los sitios web de proveedores de antivirus, Symantec, Trend Micro, Panda Guardian y otros. Variante E
Symantec informa que la variante E de la onda de choque es diferente de W32.Sasser en eso: el nombre del proceso es SkynetNotice, el nombre del archivo es lsasss.exe, y el nombre es nuevamente avserve en la línea de registro. Para reemplazar. También debe bloquear los puertos 1022 y 1023 del firewall. Y en lugar de buscar el archivo XXXXX_up.exe, busque el archivo XXXXX_update.exe. Variantes F
La variante F de la onda de choque también es ligeramente diferente de la versión anterior. El nombre del proceso es billgate, y el nombre del archivo shockwave es napatch.exe, que también se usa en el registro.