Una nueva epidemia vírica provocada por Sasser.A y B amenaza el comienzo de la semana

os equipos de soporte técnico de Panda Software están atendiendo a usuarios de todo el mundo que están viéndose afectados por el ataque de estos dos nuevos gusanos. "Las incidencias más graves son las de grandes parques informáticos, que aunque actualizan su antivirus, siguen expuestos al ataque del gusano hasta que no instalen el parche de Microsoft. Y en este caso, la labor es ardua, ya que los responsables deben ir equipo a equipo asegurando su integridad", dice Luis Corrons, responsable de PandaLabs.

"Comparado con otro tipo de virus activos que han aparecido durante el fin de semana, cuando la actividad es menor -máxime cuando en algunos países el día 1 de mayo ha sido fiesta-, éste se ha posicionado como uno de los más rápidos y virulentos. Todo hace presagiar que la semana entrante se puede tornar en negra, ya que se espera que las incidencias suban como la espuma debido al inicio de la jornada laboral", añade Luis Corrons.

Igualmente, tal y como ha sucedido en los últimos meses, esperamos que aparezcan nuevas variantes en los próximos días. "Parece que se aproxima otro ataque combinado de distintas variantes de forma simultánea -añade Corrons-. Además, las grandes empresas que tengan usuarios remotos que se conecten mediante redes virtuales o que trabajen con portátiles sin protección del firewall corporativo que puedan conectarse en red a partir del lunes, pueden verse también afectadas aunque tengan el parche instalado y el antivirus actualizado, dado que las dos variantes de Sasser aprovechan el puerto TCP 445 para distribuirse, y éste puerto es el utilizado para compartir carpetas e impresoras en Red".

Esta circunstancia, unida a que la vulnerabilidad que aprovecha Sasser.A y B afecta a prácticamente la totalidad de los sistemas operativos de Microsoft, hace que millones de ordenadores estén expuestos a la infección causada por estos gusanos. "Además, los usuarios pueden estar infectados sin saberlo, el único síntoma externo es que el ordenador se reiniciará cada vez que éste se conecte a Internet. Los usuarios avanzados pueden detectar la entrada que Sasser crea en el registro, el archivo avserve.exe que crea en la carpeta de Windows o el proceso avserve.exe en memoria. Igualmente, se puede notar una ralentización general del equipo y en algunos casos pueden aparecer ventanas de Windows alertando de problemas en LSA Shell o errores en lsass.exe", añade Luis Corrons.

Su comportamiento es similar al de Blaster, aparecido el pasado 10 de agosto de 2003. Desde que se publicó la vulnerabilidad, pasaron 26 días hasta que alguien la aprovechó. En cuanto a Blaster, en los primeros momentos de la infección -concretamente, el lunes día 11-, llegó a infectar a un 2,50% de los ordenadores analizados por Panda ActiveScan en todo el mundo. La variante B de Sasser está rozando el 3% en sólo 24 horas.

"La única solución posible es instalar cuanto antes el parche de Microsoft, actualizar la protección antivirus y estar continuamente informados sobre las novedades que se van produciendo", añade Luis Corrons. "Igualmente, los clientes de Panda están protegidos una vez actualicen sus antivirus y, además, hemos publicado dos herramientas gratuitas que pueden ser utilizadas para combatir los efectos de estos gusanos".

En caso de redes afectadas, Panda Software aconseja seguir los siguientes pasos para proceder a su desinfección y protección completa:

- Desconectar el cable de red de todas las estaciones y servidores que la compongan. De esta forma se evitará que se infecten de nuevo durante el proceso de desinfección.

- Realizar los siguientes pasos de desinfección en cada uno de los equipos, incluidos los servidores, y no conectarlos a la red hasta no tener la certeza de que todos estén libre de virus.

- Para evitar los continuos reinicios que produce este virus, aprovechando la vulnerabilidad del sistema, aplicar la solución ofrecida por Microsoft

NOTA: Mientras no se ejecute en el equipo la solución ofrecida de Microsoft, éste no estará protegido contra este virus y la máquina continuará reiniciándose cada vez que su equipo se conecte a Internet. En caso de formatear el equipo y reinstalar el Sistema Operativo, se deberá instalar de nuevo este parche para evitar infectarse de nuevo.

- Descargar la utilidad de desinfección PQREMOVE (por ejemplo en el escritorio de Windows) desde la siguiente dirección:

www.pandasoftware.es/soporte/

NOTA: En caso de que haya dificultades para descargar la utilidad PQREMOVE desde la máquina infectada, se recomienda su descarga desde una máquina limpia de virus. Una vez descargada, ejecutarla en la máquina infectada, copiándola en un disquete

- Ejecutar esta utilidad. Aunque Pqremove indique que no ha encontrado virus activos en el sistema debe pulsar el botón Continuar para realizar un análisis completo.

- Reiniciar el equipo.

- Actualizar el antivirus.

- Realizar un análisis con el programa antivirus de todo el sistema.

El parche de Microsoft está disponible en

www.microsoft.com/technet/security/bulletin/MS04-011.mspx.