Sasser: diferència entre les revisions
m Corregit: Si l'atac te èxit, un -> Si l'atac té èxit, un |
m Corregit: de instal -> d'instal |
||
Línia 52: | Línia 52: | ||
Primer de tot un petit "truc" que pots fer es retrasa l'hora del ordinador, per exemple un hora. |
Primer de tot un petit "truc" que pots fer es retrasa l'hora del ordinador, per exemple un hora. |
||
Després has |
Després has d'instal·lar un "parche" de Microsoft per reparar el bug. |
||
Microsoft Windows NT Workstation 4.0 Service Pack 6a |
Microsoft Windows NT Workstation 4.0 Service Pack 6a |
Revisió del 19:42, 15 gen 2014
Nom: | Sasser |
---|---|
Especie | Cuc Informatic |
Alies | Sasser, W32/Sasser-A, W32/Sasser.worm, Win32/Sasser.A, WORM_SASSER.A |
Plataforma | Windows NT, 2000, XP, 2003 |
Sasser és un cuc de informàtic, programat en Visual C++, que es propaga explotant la vulnerabilitat en el procés LSASS (Local Security Authority Subsystem). Aquesta vulnerabilitat és crítica en els sistemes operatius Windows XP i 2000 que no han sigut convenientement actualitzats.
LSASS controla diverses tasques de seguretat considerades crítiques, incloent control d'accés i polítiques de dominis. Una de les interfícies MS-RPC associada amb el procés LSASS, conté un desbordament de búfer que ocasiona un bolcat de pila, explotable en forma remota. L'explotació d'aquesta fallada, no requereix autenticació, i pot arribar a comprometre a tot el sistema. La naturalesa d'aquesta vulnerabilitat, es presta a ser explotada per un cuc o virus informàtic, capaç de propagar-se per les xarxes, i "Sasser" és el primer que la utilitza.
Saber si estic infectat
En Windows 2000/XP sol ensenyar un missatge com aquet o molt semblant:
Apagar el sistema
Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM
Tiempo restante para el apagado: xx:xx:xx
Mensaje El proceso del sistema C:\WINNT\system32\lsass.exe terminó de forma inesperada indicando código 0 Windows debe reiniciar ahora.
El cuc detecta la versió del sistema operatiu, i utilitza diferents exploits per a Windows XP i Windows 2000 (exploit universal), i per a Windows 2000 Advanced Server (SP4 exploit).
Windows 9x, Me NT, no són vulnerables.
Si l'atac té èxit, un shell (intèrpret de comandaments), és iniciat en el port TCP/9996.
Desinfectar el sistema
Primer de tot un petit "truc" que pots fer es retrasa l'hora del ordinador, per exemple un hora.
Després has d'instal·lar un "parche" de Microsoft per reparar el bug.
Microsoft Windows NT Workstation 4.0 Service Pack 6a http://www.microsoft.com/downloads/details.aspx?FamilyId= 7F1713FC-F95C-43E5-B825-3CF72C1A0A3E&displaylang=es
Microsoft Windows NT Server 4.0 Service Pack 6a http://www.microsoft.com/downloads/details.aspx?FamilyId= 67A6F461-D2FC-4AA0-957E-3B8DC44F9D79&displaylang=es
Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 http://www.microsoft.com/downloads/details.aspx?FamilyId= Ç62CBA527-A827-4777-8641-28092D3AAE4F&displaylang=es
Microsoft Windows 2000 SP2, SP3 y SP4 http://www.microsoft.com/downloads/details.aspx?FamilyId= 0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=es
Microsoft Windows XP and Microsoft Windows XP Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyId= 3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es
Microsoft Windows XP 64-Bit Edition Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyId= C6B55EF2-D9FE-4DBE-AB7D-73A20C82FF73&displaylang=en
Microsoft Windows XP 64-Bit Edition Version 2003 http://www.microsoft.com/downloads/details.aspx?FamilyId= C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en
Microsoft Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?FamilyId= EAB176D0-01CF-453E-AE7E-7495864E8D8C&displaylang=es
Microsoft Windows Server 2003 64-Bit Edition http://www.microsoft.com/downloads/details.aspx?FamilyId= C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en
Després pasa el teu antivirus habitual i reinicia el ordinador.