Curso de Seguridad en Internet

No es conveniente pinchar en enlaces que no sabemos donde nos llevan, como éste.

Consejos y prácticas recomendadas 

• Tener un único antivirus en el sistema
• Utiliza un buen antivirus y actualízalo frecuentemente (al menos una vez al día).
• Comprueba que tu antivirus incluye soporte técnico, resolución urgente de nuevos virus y servicios de alerta.
• Asegúrate que tu antivirus esté siempre activo (imagen típica del programa en la barra del sistema, a la derecha normalmente).
• Verifica, antes de abrir, cada nuevo mensaje de correo electrónico recibido. Algunos antivirus, entre ellos el Avast, realizan esta función automáticamente.
• Borra sin pensarlo dos veces los mensajes de correo electrónico que no ves claramente quién es el remiente.
• Evita la descarga de programas de lugares no seguros en Internet.
• Rechaza archivos que no hayas solicitado cuando estés en chats o grupos de noticias (news).
• Analiza siempre con un buen antivirus los disquetes y CD's que utilices en tu ordenador.
• Retira los disquetes de las disqueteras al apagar o reiniciar tu computador.
• Analiza el contenido de los archivos comprimidos.
• Mantente alerta ante acciones sospechosas de posibles virus.
• Añade las opciones de seguridad de las aplicaciones que usas normalmente a tu política de protección antivirus.
• Realiza periódicamente copias de seguridad.
• Mantente informado. Una buena manera de protegerse contra los nuevos virus es estar siempre bien informado.
• Utiliza siempre un software legal. Existen programas gratuitos para casi todos los cometidos que realicemos.
• Exige a los fabricantes de software, proveedores de acceso a Internet y editores de publicaciones, que se impliquen en la lucha contra los virus.

Programas

•  Antivirus Avast en español

• Tener activa la actualización automática; si tenemos banda ancha que también actualice el programa automáticamente

•  Pasar el antivirus al menos una vez a la semana

• Indicar al programa que avise cuando nos dejemos medios extraíbles en las unidades

Sentido común

•  Borrar los mensajes de correo no solicitados

•  Nunca pulsar en un enlace de un mensaje de correo (phising)

•  No fiarse de nada ilógico recibido en un mensaje de correo

Este virus, como otros que vinieron después, infecta ordenadores que estén encendidos y conectados a Internet, sin más. Aprovecha una vulnerabilidad del sistema para colarse

Worm.W32/Sasser es un gusano con capacidad para autoejecutarse cuya propagación se realiza gracias a una vulnerabilidad de algunos sistemas Windows.

Más información sobre este virus en Todo lo que deberías saber....

Los equipos infectados abren un servicio FTP en su puerto TCP/5554 para permitir la descarga del ejecutable del gusano.
Busca máquinas a las que infectar realizando chequeos de direcciones IP generadas semialeatoriamente, intentando conectarse al puerto TCP/445 de cada una de ellas (puerto donde se encuentra por defecto el servicio LSSAS vulnerable).

De las direcciones IP generadas como destinatarias de la infección, el 50% son calculadas completamente al azar, un 25% pertenecen a la misma clase A que la IP del ordenador infectado (primer octeto común) y el otro 25% se corresponden con IPs de la misma clase B (los dos primeros octetos iguales).

Cuando logra conectarse al puerto TCP/445 de alguna IP, envía código para explotar la vulnerabilidad LSASS (1.), de modo que si el sistema no esta protegido, abre una shell (intérprete de comandos) en el puerto TCP/9996. (2.)

Desde ese intérprete de comandos fuerza una conexión al puerto TCP/5554 del ordenador infectado origen (3.), para descargar por FTP el ejecutable del gusano (4.). Esta acción la realiza una rutina creada por el gusano llamada cmd.ftp.

El nombre del archivo descargado será #_up.exe, donde # es una cadena de 4 o 5 dígitos al azar, por ejemplo 78551_up.exe.

El virus se copia a sí mismo en el directorio de Windows con el nombre avserve.exe.

Worm.W32/Sasser provoca un desbordamiento de búfer en LSASS.EXE, lo que hace que dicho programa falle y requiera el reinicio de Windows.

Podrían presentarse los siguientes mensajes:

Esta es una ventana similar a la que aparece en Windows XP por acción del gusano Blaster (Lovsan):

Para ejecutarse automáticamente cada vez que el sistema es reiniciado, el gusano añade a la siguiente clave del registro de Windows, el valor indicado.

• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Valor: "avserve.exe" = C:\WINDOWS\avserve.exe

Crea el fichero win.log en el directorio raíz de la unidad C:. Este archivo contiene la dirección IP del equipo.

# El gusano crea un mutex llamado "Jobaka3l" para no ejecutarse más de una vez en memoria.

Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.

Herramienta de desinfección de este virus: Symantec