Atenção a este virus, porque os PC's são infectados sem qualquer intervenção dos utilizadores, desde que o windows não esteja actualizado.

Ontem já apanhei este virus num PC na rede da Netcabo.

http://vil.nai.com/vil/content/v_125007.htm


"METODO DE INFECÇÃO:

This worm spreads by exploiting a recent Microsoft vulnerability, spreading from machine to machine with no user intervention required.

This worm scans random IP addresses for exploitable systems. When one is found, the worm exploits the vulnerable system, by overflowing a buffer in LSASS.EXE. It creates a remote shell on TCP port 9996. Next it creates an FTP script named cmd.ftp on the remote host and executes it. This FTP script instructs the target victim to download and execute the worm (with the filename #_up.exe as aforementioned) from the infected host. The infected host is accepts this FTP traffic on TCP port 5554.

The worm spawns multiple threads, some of which scan the local class A subnet, others the class B subnet, and others completely random subnets. The destination port is TCP 445"


Se os vossos PC's não estiverem actualizados é boa ideia fazer um Windows Update.
Se já tiverem infectados podem remover o virus usando o Stinger,
http://vil.nai.com/vil/stinger/
Claro que depois deverão actualizar o windows para não voltar a apanhar o virus.

Poiz é... a minha manhã já foi prendada com tão agradável visita...

http://download.nai.com/products/mcafee-avert/stinger.exe

(removal tool)

Cuidado com os portscans que podem enganar, a porta 5554 também é usada por produtos Oracle, o truque é o seguinte:

- SE der "200 OK" logo no primeiro pacote, é Sasser.

.. e que mais estará reservado a nós, pobres utilizadores do windows... :rolleyes:
enfim, mas pelo menos não parece ser tão grave como o blaster...em velocidade de propagação e assim..

E depois, já tinha sido avisado nos sites do costume antes acontecer.. instalei logo o patch... :Security Bulletin MS04-011 (http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx)

:cool: Hey...

Exato... é preciso ter muito cuidado ;)

No entanto a Microsoft já lançou um patch para corrigir mais esta falha :)

http://www.microsoft.com/downloads/details.aspx?displaylang=pt-pt&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3 (para a versão do Windows em Português)
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en (para a versão do Windows em Inglês)

tb já ando as voltas com isso no pc.

as firewalls não deviam detectar e blokear??

o simtoma desse worm no meu pc é do tipo; deixa ligar a net normalmente, mas sempre ke tentar aceder com algo á rede não deixa.

tipo abrir uma page, dá sintoma de ligação desligada, messenger igual.....


tenho de aplicar a patch e remover, kuando puder desligar o pc..

eu nao apanhei exe worm.... :rolleyes:

eu nao apanhei exe worm.... :rolleyes:

PARABÉNS! :x2:

pah para quem quiser tb a symantec lançou uma ferramenta para tratar desse virus ...

http://securityresponse.symantec.com/avcenter/FxSasser.exe

PARABÉNS! :x2:


pa mas tipo, eu na tenhu firewall..

pah para quem quiser tb a symantec lançou uma ferramenta para tratar desse virus ...

http://securityresponse.symantec.com/avcenter/FxSasser.exe

Este não funca. Executei, não detectou nada e logo em seguida estava o pc em auto-shutdown....Windows sucks!!!

Utilizem o remove da Microsoft e mais nada.

Este não funca. Executei, não detectou nada e logo em seguida estava o pc em auto-shutdown....Windows sucks!!!

Utilizem o remove da Microsoft e mais nada.

Típico_utilizador_de_windoze ...


De nada te vale apaguares o bicho se continuas a deixar o buraco aberto...

O programa da symantec não te vale de nada enquanto não meteres o patch da microsoft, que não o remove... apenas não o vês.

o patch da microsoft corrige a falha de segurança q da origem ao shutdown!

O worm continua la mas ja nao faz efeito! qnt ao fix da symatec em xp bule na boa mas em 2000 nepia, n apanha nada mesmo ele estando la!

na pagina deles esta um metodo para remover(axo q e na deles) mas novamente e para o win xp! para quem tem 2000 e mesmo o security update da microsoft ou um bom antivirus actualizado para o apanhar

Mas tirem me lá uma dúvida..é suposto isto mandar o PC abaixo certo?

é q pelo q li nos processes deveremos ter (se infectados) um tal AVSERV.EXE....coisa q eu tinha, mas corri o stinger o norton e nada de worms ou virus :D estranho?

Meti o patch e o tal AVSERV desapareceu mas continuo com um tal de LSASS.EXE nos processes este ultimo é normal?? n me lembro de o ver por la :D

Fiz estes processos todos com o PC offline as recommended :D

Mas tirem me lá uma dúvida..é suposto isto mandar o PC abaixo certo?

é q pelo q li nos processes deveremos ter (se infectados) um tal AVSERV.EXE....coisa q eu tinha, mas corri o stinger o norton e nada de worms ou virus :D estranho?

Meti o patch e o tal AVSERV desapareceu mas continuo com um tal de LSASS.EXE nos processes este ultimo é normal?? n me lembro de o ver por la :D

Fiz estes processos todos com o PC offline as recommended :D

a mim mandou abaixo e depois parou..tb fiz aquilo do shutdown-a, não sei se resultou...e depois foi o tal erro para envir para a microsoft

O worm continua la mas ja nao faz efeito!

Errado!
Continua a fazer o seu efeito. Simplesmente não é vizível: está a mandar milhares de cópias suas pela net para infectar outros tantos PCs. As pessoas apenas notam o seu PC mais lento e a net ligeiramente mais lenta.

a mim mandou abaixo e depois parou..tb fiz aquilo do shutdown-a, não sei se resultou...e depois foi o tal erro para envir para a microsoft

Caguem nos programas de detecção do virus da Symantec e do Mcafee.
Façam como já foi aqui exemplificado.


1) Iniciem o windows em modo de segurança e apaguem todos os ficheiros avserv*.exe e *_up.exe.

2) Apaguem a chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe

(ou Run "avserve2.exe" = C:\WINDOWS\avserve2.exe)
conforme vos aparecer..

3) Instalem a patch..

E problema resolvido.

Problemas que esse worm me estava causando? Reboot's e lentidão no sistema. Agora já voltou tudo ao normal. Ah, e por favor, usem uma firewall.

Bem, a minha firewall já andava à meses a mandar avisos do port 135 (Blaster?) ... Agora é uma festa na 445...

Bom, face à minha 'experiência' ao lidar com este parasita durante o dia de hoje leva-me a dar alguns conselhos...

Eu sei que alguns n gostam da M$, que blá blá blá e não sei mais o quê, mas se forem a este link (http://www.microsoft.com/security/incident/sasser.asp) e seguirem os passos existentes, o vírus é limpo que nem um brinco.

Especialmente se fizerem o terceiro passo (que vindo da M$ até me surpreende), o script responde em poucos segundos.

Os patches dos anti-virus, o que fazem é Limpar e não 'patchar' o sistema...

O patch da M$ é a melhor solução...

Um abraço

Errado!
Continua a fazer o seu efeito. Simplesmente não é vizível: está a mandar milhares de cópias suas pela net para infectar outros tantos PCs. As pessoas apenas notam o seu PC mais lento e a net ligeiramente mais lenta.

n, n esta errado! td bem q ele continua a replicar mas ja nao causa problemas no lsass.exe e ja nao manda abaixo o pc!

Td bem q limpar o pc e importante mas axo q maior parte do ppl ta e preocupado com os shutdown repentinos!

Flyer esse serviço e um dos serviços do windows! E (se nao me engano) o responsavel pelos user logons no windows por isso deixem la estar o Lsass.exe!

também concordo. O importante é estancar os shutdowns repentinos.

Isso de retirar o vírus é irrelevante. O Windows já é por si um grande vírus
logo ter mais um não adianta nem arrefece. :D

lololololol epa nos falamos mal do windows mas tds la vamos parar!

E claro q e importante cada um contribuir para evitar q esta praga se espalhe e so quem ja teve de aturar uma praga destas e q da valor!

Nunca mais! ja tava farto do blaster e la vem este ajudar a festa!

Sera q este ppl na tem mais nada q fazer! Get a life! deixem mas e de fazer estes virus mer"!#$"

A microsoft deveria mas é apreender com este tipo de virus e em vez de deixar espalhar as variantes do virus, fazia o seu proprio para espalhar um patch de correcção automáticamente.

O problema é que pode haver espertos que não queiram o patch, logo podem processar a MS. Infelizmente os patchs não são obrigatórios, a não ser que na EULA esteja lá uma alinea a dizer que aceitas todos os patchs que possam ser emitidos.

Mudava logo pa Linux! Jogar era na PS2 e Xbox.

alguem me podia dizer um firewall k nao consuma mtas resourses do sistema e k seja eficaz plz..... tenho o peer guardian e n consigo fazer nada a nao ser navegar na net porke isto ocupa-me o cpu kuase ate ao max.......

btw, sempre k chego a casa tenho uma carrada de ip's blokiados todos da gain cme spyware.... como eh k evito isto?

cumps, ocn

instala a Zone Alarm :D

cumps

Eu aconselho vivamente a todos que estejam realmente preocupados com este ou qualquer outro virus a investirem num router com firewall incorporada, é "remédio santo".
eu tenho um NETGEAR FR114P que trás uma firewall certificada pela ICSA com "packet Inspection, Intrusion Detection and Denial of service attack protection" e realmente ñ passa aqui nada maligno!
e ainda posso ligar vários computadores á net ao mesmo tempo sem precisar pagar mais por isso, por tudo isto vale a pena.

ñ é preciso mais software firewalls, só é aconselhavel ter um antivirus para alguns virus que veem por e-mal. ;)

Vírus interessante. O log de tentativas frustradas do meu router tem
agora muitas entradas na porta 445 e quase todas de máquinas netcabo.
Deve haver muito PC infectado. :D

Falar da MS é mt fixe ahhaha... :rolleyes:

Usem o auto update do windows ou então façam o windows update à pata e vão ver que têm menos problemas destes... estas worms fazem mts estragos pq em geral mt gente não sabe usar o Windows...

O que vale é q o SP2 vem com ainda + features para tornar o XP mais "user proof"... :rolleyes:

Instalei ontem o Norton Firewall.

Não sei se é bom ou não, mas se calhar remedeia...

Até agora tenho reparado o seguinte:

Windows 2000:

embora o erro do Lsass.exe apareça e o PC faça restart espontâneo, o vírus não infecta este sistema... O Patch serve para corrigir apenas o hole existente e deixar de aparecer o erro do shutdown

Windows XP:

Estes Pc's são as reais causas da infecção existente. Estes quando infectados, recebem o programa, começam a lançar pacotes para a rede (LAN ou WAN). Para corrigir terão que instalar o patch da M$ e correr o fix existente no site da M$ que dei ontem

Para já são estes os sintomas que tenho detectado, principalmente em redes internas

A solução para os problemas é mesmo um router/firewall e fechar as portas 5554, 445 9996

Update:

Confirma-se a questão da infecção apenas de Windows XP. Um relatório de segurança da Symantec explica que a versão Sasser.D apenas infecta o windows XP mas utiliza não só o 2000 como o 95/98/Me para se espalhar. No 2000 aconselha-se vivamente a instalação do patch da Microsoft

e firewall à borlix,arranja-se?

e firewall à borlix,arranja-se?

O Zone alarm é à borla, mas nunca o experimentei...

e firewall à borlix,arranja-se?


http://www.sygate.com/

;)

zone alarm :)

Sinceramente não entendo pq é que tanta gente apanha estas *****s....

Eu nunca no meu computador apanhei o Blaster, nem o Netsky, nem o BugBear, nem este Sasser... simplesmente pq eu sei o que estou a fazer ( ou quando não sei, informo-me e tento saber) quando formato o meu pc e o configuro. Só depois trabalho nele.

O problema do windows não é que seja pior que outros SO's, é que o número de pessoas inexperientes que o usa é muitíssimo superior do que qualquer outro sistema operativo.

Regras de ouro:

1. Explorem ao máximo o sistema operativo e tentem compreender todas as suas opções de configuração. Tentem perceber o que são serviços, quais o que estão a arrancar automaticamente, e para que servem.

2. A nível de redes só se abram para o exterior o mínimo possível, dependendo do que precisam para trabalhar. Se não sabem o que fazer, então instruam-se e aprendam um mínimo de segurança em redes primeiro. Não deixem as coisas andar... pois quando vão habitar uma casa nova, também não vão para lá antes de montarem a porta de entrada e as fechaduras pois não? Epah, e não precisam de porras de firewalls se têm routers!! Tou farto de dizer isto às pessoas. Aprendam é a configurar um router. Por 10cts e algumas horas têm os vossos problemas de redes resolvidos.

3. Assim que instalarem o SO, a primeira coisa a fazer é instalar um antivirus bom, e actualizá-lo. Depois é fazer todos os updates ao SO possíveis. Só depois começam a trabalhar e a instalar o resto das coisas...

Garanto-vos que não terão qualquer problema durante anos... Eu pelo menos tinha a minha instalação do XP há cerca de ano e meio sem problemas. Depois o disco pifou e agora teve mesmo de ser.

Sinceramente não entendo... ontem um amigo meu que trabalha na brisa disse-me k ficaram metade dos departamentos inoperacionais, e perderam o dia de trabalho... Desculpem lá mas isto não é normal.

Um bom mecânico quando mexe num carro sabe o que está a fazer. Então um bom informático tem que fazer o mesmo. Se não se sabe, não se mexe.

Cumps

Chight e um dos principais problemas é que muito pessoal ainda nem utiliza firewall. É preciso acontecerem cenas destas para para o pessoal abrir os olhos! :)

Primeiro e antes de tudo nem toda a gente tem as mesmas bases e capacidades de lidar com um computador como a maior parte das pessoas aqui do fórum. O sistema windows tem muitos pontos complexos e excessivamente complicados para que se possa perceber como funcionam. Os utilizadores são isso mesmo, meros utilizadores e não técnicos de hardware e redes. Querem trabalhar no computador e quando este está avariado, levam-no ao mecânico, tal e qual como acontece com os carros.

Configurações de router? Isso para 95% de utilizadores de Windows é chinês. Destes ninguem ouviu falar em firewall, não sabem para o que serve e muito menos como se configura.

Ter-se-ia que explicar a todos os utilizadores inexperientes os conceitos de serviços do Windows, instâncias e respctiva arvores a correr a correr, portas de rede, redes e protocolo tcp/ip, e por aí fora. Nem mesmo na nossa geração que já nasceu com estas coisas à frente dos olhos se consegue ter abertura mental ou mesmo interesse em aprender estas coisas técnicas.

As pessoas querem carros para que estes andem. Tudo o que fuja desse âmbito cabe ao mecânico tratar.

As casas são para habitar. Canalizações rotas, problemas electricos, é tudo para os especialistas tratarem.

Nos PC's é igual. As pessoas ou querem usar os seus programas para trabalhar, navegar na net e jogar. Tudo o que fugir daí é com o técnico.

Ainda bem que assim é, senão muitos de nós estavamos desempregados :P

De resto o que "pediste" é utópico. Isso ainda é mais fortalecido porque uma boa parte dos técnicos de muitas empresas por este país fora não tem conhecimentos nem estão devidamente certificados para desempenharem funções de técnico de informática como deve der ser. Ainda é muito visto com oum emprego em vez de um trabalho. O amigo que é curioso a trabalhar em PC's e até percebe disto (do ponto de vista de um perfeito leigo), arranja-se uma cunha para ele, e aí está ele como técnico sem o poder ser.

Depois admiram-se que Portugal seja dos paises com maior indice de infecções destes tipos de vírus a nivel Mundial.

chight,

"Sinceramente não entendo pq é que tanta gente apanha estas *****s...."

A mim o que me surpreende é que tu aches que isso está ao alcance da maior parte dos utilizadores. ;)

Felizmente, também nunca tive nenhum problema com nenhum virus. De momento tenho um router e além disso ainda uso o Zone Alarm para controlar os acessos do meu PC para o exterior e um anti virus.

Como é óbvio, também tenho todos os updates do Windows e todas as melhores ferramentas anti-Spyware.

Já vi esse virus a funcionar e é realmente muito irritante. :005:

Sinceramente não entendo pq é que tanta gente apanha estas *****s....


Da mesma forma que é preciso ter-se aula e passar em 2 exames para se poder user um carro, também devia ser obrigatório aulas e respectivos exames para que um utilizador possa usar um PC. Desta forma não pode alegar ignorância.

E esta ignorância manda abaixo todas as redes, mesmo as mais bem construídas, tudo isto, devido à ignorância, laxismo, negligência, e muita estupidez.

Sinceramente não entendo pq é que tanta gente apanha estas *****s....



Chight.. eu só o apanhei num dos pc's sem firewall. Porque no outro, com a Norton Firewall instalada, não fez mossa alguma. ;)

Estão a esquecer-se de um pormenor relevante.

Este vírus só existe porque havia um buracão nos windows.
A culpa não é do utilizador. Este compra um produto e parte do
princípio que é de qualidade.

É claro que a Microsoft não deve ser culpabilizada por haver tantos
utilizadores ilegais que desligam o automatic windows update sabe-se
lá porquê. :D

Este vírus são feitos por hackers amadores. Só descobrem o buraco
quando a Microsoft ou outros o descobrem e normalmente só tem 15/1 mês
para aproveitá-lo porque depois já quase toda a gente fez update ao
Windows.

nevertheless axo-o um virus mt interessante, relativamente à forma como se comporta

Chight mas se tás tão indignado podias dizer ai ao ppl o que realmente usar e fazer? tal como sites a explicar como realmente as coisas funcionam(esses tais serviços q o windows tem ligados automaticamente) etc... progs q usas (antivirus firewalls etc...) enfim as coisas boas e uteís q nos facilitam a vida destas m*****...isto claro em local apropriado deste forum :)
Eu por acaso n tive qualquer problema com estes .... n sei o que lhe chamar... palhaçadas.

Que eu saiba o automatic update vem activado por omissão quando
instalas o sistema operativo.

Se não tens o automatic update a funcionar foi porque o desligaste.
Se o desligaste supõem-se que saibas o que estas a fazer e a que riscos
ficas sujeito.

Bem o post do seavoices veio confirmar o pk de nunca encontrar nada nos 2000 apesar de estes tb serem afectados!

Qnt a questao dos utilizadores vcs esquecem-se q nem td a gente e obrigada a compreender como funciona um SO! td bem q por vezes assistimos a autenticas barbaridades informaticas mas nem td a gente nasce ensinada! e nem td a gente tem ou o gosto ou a disponibilidade para aprender seja o q for sobre informatica!

O q sinceramente me deixa stressado e o seguinte: qual e o gozo de criar virus destes? sinceramente n entendo!

Ainda bem que assim é, senão muitos de nós estavamos desempregados :P



Amen to that brother ;)

Que o mundo nunca deixe de produzir analfabrutos informaticos e que a MS nunca deixe de criar buracos ;)
.....
...
...
O q sinceramente me deixa stressado e o seguinte: qual e o gozo de criar virus destes? sinceramente n entendo!

É pa as teorias sao muitas ;)

As linhas principais sao as seguintes:

a) Tens os hackers bons que tentam forçar desta maneira a MS a lançar patches para resolber as bulnerabilidades

b) tens os hackers maus que usam este tipo de virus em probeito proprio recolhendo info das maquinas infectadas utilizando-a depois ;)

c) as proprias empresas de anti virus de maneira a manterem o ppl interessado em adquirir os produtos deles ;)

Tv nenhuma das 3 tv uma das tres, tv todas as 3, tv uma coisa completamente diferente, o q e' certo e' q eles existem e nos e' q temos de lidar com eles ;)

As linhas principais sao as seguintes:
a) Tens os hackers bons que tentam forçar desta maneira a MS a lançar patches para resolber as bulnerabilidades
b) tens os hackers maus que usam este tipo de virus em probeito proprio recolhendo info das maquinas infectadas utilizando-a depois
c) as proprias empresas de anti virus de maneira a manterem o ppl interessado em adquirir os produtos deles

eu escolhia a porta numero 3 :die:

Apanhei hoje na empresa aquilo que julgo ser uma variante do sasser, ainda não documentada pelas empresas de antivirus. Activa um processo chamado AVWCHED.EXE que ocupa quase 100% do cpu e torna lento o funcionamento do computador e o acesso a uma rede / internet.

Com a ajuda do suporte da Microsoft lá se conseguiu remover estes virus de forma manual.

Por isso a recomendação é manter uma firewall actualizada e também os updates do windows.