Ir ao conteúdo
  • Cadastre-se
Entre para seguir isso  
FallenHawk

Falha No Lsass.exe Parecida Com O Blaster

Recommended Posts

A poucos dias postaram sobre a falha no LSASS.exe parecida com o Blaster.

é um novo vírus!

Quem estava protegido contra o blaster NÃO ESTÁ PROTEGIDO CONTRA ESSE!

Quem ainda não instalou, está perdendo tempo!

- PATCHS NO PORTUGUES-BR -

Windows 2000 SP2+

http://download.microsoft.com/download/c/5...732-x86-PTB.EXE (6.6MB)

NÃO EXISTE PATCH PARA WINDOWS 2000 SP1 E ANTERIOR! Atualize!

Windows XP com e sem SP1

http://download.microsoft.com/download/0/0...732-x86-PTB.EXE (2.6MB)

Patches em inglês estão mais abaixo no tópico.

UPDATES

-- Foi identificado mais 2 vírus (além do Agobot, Sasser e SdBot) entrando pela vulnerabilidade do LSASS: Bobax e Cycle. O Cycle pode ser removido exatamente como o Sasser, mas o nome do arquivo é outro. Para o caso do Bobax, veja o tópico sobre ele no fórum vírus:

http://forum.clubedohardware.com.br/index....howtopic=149737

-- O autor do vírus foi preso, assim como o autor do Agobot que vem causando dores de cabeça a meses. Agora a pouco foi detectada variante Sasser.E do vírus, com funciomanto igual a variante D, porém ele remove o vírus Bagle.

-- Infeccções por Gaobot/Agobot começaram a aparecer. Se você não tem o Blaster ie isso não resolve seu problema, você está com o Agobot. O Agobot é um backdoor perigosíssimo com mais de 450 variantes. Tente uma ferramenta de remoção do Agobot. Se caso não resolver, você deve instalar um bom anti-vírus e torcer para que este pegue a sua variante do Agobot.

-- A ferramenta de remoção corrige o vírus e faz com o que o PC não seja mais reinicializado. Se você tiver infectado é bom rodar essa ferramenta, para dar tempo de instalar os patches. Ao contrário do que diz no site do Terra, NÃO PRECISA REINSTALAR O SISTEMA (formatar) por causa dessa praga. Pelo menos não há nada até agora (variante D) que faça valer isso a pena. Com o vírus removido rapidamente, isso não é necessário. E novamente, contrariando a tradução que está no site do Terra, o vírus não afeta Windows XP 64bits, simplesmente porque o vírus é 32bits. A falha, entretanto, afeta desde Windows NT4.0 até Windows 2003 e pode ser explorada por pessoas, mas não pelo vírus.

-- Sasser.D descoberto. Praticamente confirmada a relação com o netsky. Os nomes diferentes dos exectuáveis foram adicionados a remoção manual.

Descrição

O nome do Vírus é Sasser. Quando o PC está infectado, você ve uma mensagem parecida com o blaster (PC Reiniciando em 60 seg) mas contém System32\lsass.exe no programa com erro. O lsass.exe é o arquivo do Windows que o patch corrige. Como seu sistema está infectado com o vírus, o vírus quando explora a falha do lsass.exe faz ele fechar, reiniciando o PC em 60 segundos.

Sintomas

- PC absurdamente lento

- Impossibilidade de abrir paginas na internet

- Erro no lsass.exe com contador de 1 minuto

- Erro no LSA Shell (Export Version)

- Erro dizendo "The memory could not be 'read'" ao iniciar o Windows

Remoção Manual do Vírus

Se o PC estiver com o contador na tela, Iniciar > Executar e digite shutdown -a. Se a conexão com a internet está difícil, habilite o firewall do Windows XP. Se você usa Windows 2000, veja o outro tópico

1) Aperte CTRL+SHIFT+ESC para abrir o gerenciador de tarefas. Clique na aba PROCESSOS.

2) Procure por um processo com os nomes em maiúsculo abaixo. Se achar algum, feche (botão direito > fechar processo). Depois, vá até a pasta C:\WINDOWS\ e delete os arquivos com algum desses mesmos nomes abaixo.

--- AVSERVE.EXE (sasser.a)

--- AVSERVE2.EXE (sasser.b, sasser.c)

--- SKYNETAVE.EXE (sasser.d)

--- NAPATCH.EXE (sasser.f)

--- LSASSS.EXE (sasser.e)

Note que no último existem 3 letras "s" depois de LSA e não 2 como no processo do Windows. Você provavelmente verá os dois rodando (LSASS.EXE E LSASSS.EXE). Finalize apenas o com os 3 "S".

Delete esses arquivos na pasta C:\WINDOWS\system\

-- svchost.exe (cycle.a)

Também delete os arquivos:

--- C:\WIN.LOG

--- C:\WIN2.LOG

E delete qualquer arquivo finalizando com _up.exe (na pasta C:\WINDOWS\system32).

3) Aplique o Patch (urls acima)

4) Abra o regedit e vá até: HKEY_LOCAL_MACHINe\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

E delete a chave "Avserve", "avserve2", "lsass", "skynetave" ou "Generic Host Service"

PS: veja também o tutorial do bobax:

http://forum.clubedohardware.com.br/index....howtopic=149737

5) Reinicie o computador.

Usuários de praticamente qualquer anti-vírus devem atualizá-lo, pois atualizações de emergência foram lançadas.

Links

Boletim da Microsoft (mais info e outros patches)

http://www.microsoft.com/technet/security/...n/MS04-011.mspx

Informação da Symantec

http://securityresponse.symantec.com/avcen...asser.worm.html

F-Secure

http://www.f-secure.com/v-descs/sasser.shtml

Compartilhar este post


Link para o post
Compartilhar em outros sites

Obrigado !! :palmas:

você me salvou..não encontrava esse FIX em lugar nenhum...

Já não chega o blaster...agora vem essep parecido...

Eu eu só puxei o removal, não é necessário pegar algum firewall que bloqueie essa porta não né??

valeu!! :joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por PC-Fãn@01 maio 2004, 12:27

Eu eu só puxei o removal, não é necessário pegar algum firewall que bloqueie essa porta não né??

Baixando o Patch deixa você protegido contra ele.

Para remover ele siga as instruções que coloquei no tópico. :)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Posso instalar sem estar infectado , buscando uma possivel prevenção ???

Eim Eim Eim ???

ehheheh

FlwssSssS

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por PC400@01 maio 2004, 13:57

Posso instalar sem estar infectado , buscando uma possivel prevenção ???

Eim Eim Eim  ???

ehheheh

FlwssSssS

DEVE!

Compartilhar este post


Link para o post
Compartilhar em outros sites

aqui no meu pc o arquivo q eu achei chama avserve2, aí quando eu vou excluir, da ecesso negado, e pede p/ mim certificar se ele não esta protegido contra gravações... tipo é esse mesmo q eu tenho q deletar?

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por Bruno_Dellarosa@01 maio 2004, 15:20

aqui no meu pc o arquivo q eu achei chama avserve2, aí quando eu vou excluir, da ecesso negado, e pede p/ mim certificar se ele não esta protegido contra gravações... tipo é esse mesmo q eu tenho q deletar?

Ele mesmo! Mas você tem que fechar o programa pelo CTRL ALT DEL senão o Windows não vai te deixar deletar o arquivo.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por Adilson@01 maio 2004, 16:00

alguém sabe se o norton 2003 atualizado consegue detectá-lo?

Leia isso:

Usuários de praticamente qualquer anti-vírus devem atualizá-lo, pois atualizações de emergência foram lançadas. (...) PS: esse vírus pode virar a mesma coisa que o Blaster: sem patch = remoção imposssível. Firewalls que bloqueiam port scans na porta 445 podem ajudar agora.

então mesmo que seu anti-vírus pega o patch é essencial pra ele não voltar.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Cara, o meu problema é o mesmo de quando eu estava infectado com o Blaster. Eu me conecto à internet e o arquivo que dá erro é o svchost.exe (aquele mesmo que o blaster bagunçava). Quando me conecto surge na tela a mensagem: svchost.exe causou um operação ilegal e será fechado, o Windows está criando um arquivo de log.

Eu uso o Win2K, estou com o SP4 instalado e com a atualização que a Microsoft disponibilizou para proteger contra o Blaster. O meu antivirus é o eSafe Desktop que tem um fire wall integrado. Configurei o módulo fire wall e bloqueei qualquer tráfego de dados pela porta 445, como você sugeriu, mas mesmo assim não deu jeito. Bloqueei também todas as portas que o Blaster poderia utilizar para invadir o computador.

Verifiquei também as chaves do registro que você mensionou, mas elas estão como sempre, com os mesmos valores, ou seja, nada foi alterado.

O que eu posso fazer? O Blaster não pode ser, a não ser que seja uma variante dele.

DETALHE: o meu computador não fica lento.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por mrpm@01 maio 2004, 17:02

Eu uso o Win2K, estou com o SP4 instalado e com a atualização que a Microsoft disponibilizou para proteger contra o Blaster. O meu antivirus é o eSafe Desktop que tem um fire wall integrado. Configurei o módulo fire wall e bloqueei qualquer tráfego de dados pela porta 445, como você sugeriu, mas mesmo assim não deu jeito. Bloqueei também todas as portas que o Blaster poderia utilizar para invadir o computador.

Verifiquei também as chaves do registro que você mensionou, mas elas estão como sempre, com os mesmos valores, ou seja, nada foi alterado.

O que eu posso fazer? O Blaster não pode ser, a não ser que seja uma variante dele.

DETALHE: o meu computador não fica lento.

Isso me parece Agobot.

Se você roda IIS ou SQL Server tem outros patches que o Agobot explora e da o mesmo erro que o Blaster dava. Com certeza não é esse vírus aqui.

O Agobot tem mais de 400 variantes.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por FallenHawk@01 maio 2004, 17:25

Se você roda IIS ou SQL Server tem outros patches que o Agobot explora e da o mesmo erro que o Blaster dava. Com certeza não é esse vírus aqui.

O Agobot tem mais de 400 variantes.

Cara, eu não tenho o IIS e nem o SQL Server.

Eu estou baixando o Patch que você indicou. Vou instalar também algumas autualizações. Vou ver se isto resolve.

Caso seja o Agobot, como faço para removê-lo e para mantê-lo permanentemente longe de minha máquina?

Compartilhar este post


Link para o post
Compartilhar em outros sites

cara desculpa, não foi preguiça, mas eu realmente não achei esse patch para o XP PRO English... pode me passar o link?

Compartilhar este post


Link para o post
Compartilhar em outros sites

:palmas: :bandeira: :palmas:

FallenHawk

Tu não sabe o tamanho da gratidão que tenho por tu ter postado sobre este virus. eu estou com o norton atualizado e mesmo assim peguei ele hoje a tarde (01 Mai 04) Não sabia mais o que fazer, pois eu ligava o micro e já aparecia a tela para desligar em 60segundos. Li a tua postagem. desativei o avserver2.exe e deletei a chave no registro e deu tudo certo.

Obrigado pela tua atenção...

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por WaVe@01 maio 2004, 19:54

cara desculpa, não foi preguiça, mas eu realmente não achei esse patch para o XP PRO English... pode me passar o link?

Ok aí vai:

Windows XP Home e Pro Inglês (2.6 MB)

http://download.microsoft.com/download/6/1...732-x86-ENU.EXE

Windows 2000 SP2+ Inglês (6.9 MB)

http://download.microsoft.com/download/f/a...732-x86-ENU.EXE

O link para todos os sistemas operacionais esté no site da Microsoft no boletim sobre a falha:

http://www.microsoft.com/technet/security/...n/MS04-011.mspx

Caso seja o Agobot, como faço para removê-lo e para mantê-lo permanentemente longe de minha máquina?

Aí que tá o problema. São 400 nomes diferentes de arquivos executáveis não sei nenhum lugar onde tenha todos. Minha recomendação é pegar um anti-vírus e vasculhar o sistema. Geralmente o Agobot se instala no registro com os serviços do Windows.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Guest lucasvivas

apareceu outro virus man!!!!

rpc que ####### é essa oke eu devo fzr? :wacko:

Compartilhar este post


Link para o post
Compartilhar em outros sites

eu AINDA estou infectado com ele...

tipo: eu conectava e depois de uns 5 minutos aparecia a tela de desligar o pc...

mas ai eu fiz um negocio... ativei o firewall do winXP e ele parou de me encher o saco.

embora ainda esteja aqui, pois eu não fiz nada pra remove-lo (meu norton não acusa infecção nenhuma)

mas vou instalar o fix agora....

fica ai a dica pra quem não da nem tempo de baxar o fix

Compartilhar este post


Link para o post
Compartilhar em outros sites

Galera, se eu instalar só om fix dá certo???

ou tenho q fazer toda a operação??

já tirei do meu computador, mais em um monte de computadores apareceu e estou saindo limpando tudo, queria saber se só instalando fix dá certo.

valeu

Compartilhar este post


Link para o post
Compartilhar em outros sites

Continua mostrando o arquivo Isass.exe no gerenciador de tarefas, mesmo depois de dar a vacina e fazer os procedimentos que foi dito no topico, é normal???????

:wacko:

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por Kensou@02 maio 2004, 13:28

Continua mostrando o arquivo Isass.exe no gerenciador de tarefas, mesmo depois de dar a vacina e fazer os procedimentos que foi dito no topico, é normal???????

:wacko:

Absolutamente.. lsass.exe é um arquivo do Windows que não pode ser fechado, muito menos deletado. O vírus causava um erro nele e fechava ele, por isso que dava problema.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por FallenHawk+01 maio 2004, 15:53-->
Bruno_Dellarosa@01 maio 2004, 15:20

aqui no meu pc o arquivo q eu achei chama avserve2, aí quando eu vou excluir, da ecesso negado, e pede p/ mim certificar se ele não esta protegido contra gravações... tipo é esse mesmo q eu tenho q deletar?

Ele mesmo! Mas você tem que fechar o programa pelo CTRL ALT DEL senão o Windows não vai te deixar deletar o arquivo.

Não estou conseguindo eliminar este vírus do meu computador, o arquivo avserve2.exe aparece na pasta do windows mas não aparece na lista de processos pra poder finalizá-lo. Já tentei todas as ferramentas de remoção q encontrei (symantec, microsoft, f-secure) e todas afirmaram q o computador não está infectado. Só o AVG que encontra o virus mas não consegue apagá-lo (novidade!!!). Será que já é uma nova variação??? Alguém tá passando pelo mesmo problema??

Abraços..

Compartilhar este post


Link para o post
Compartilhar em outros sites
o arquivo avserve2.exe aparece na pasta do windows mas não aparece na lista de processos pra poder finalizá-lo

Já dentou selecionar ele e segurar a tecla SHIFT e apertar DELETE? Se não, é uma boa ideia :P

Já tentei todas as ferramentas de remoção q encontrei (symantec, microsoft, f-secure) e todas afirmaram q o computador não está infectado

As ferramentas não funcionam se o vírus não está no registro.

Só o AVG que encontra o virus mas não consegue apagá-lo (novidade!!

Não é culpa do AVG. O AVG tenta deletar o arquivo, o mesmo processo (exatamente o mesmo) que quando você vai lá e aperta DELETE. Se você não consegue, o AV também não vai conseguir. Raros casos quando o corpo do vírus está encriptado e ele tenta tirar vírus do exe, isso não será verdade.

Será que já é uma nova variação??? Alguém tá passando pelo mesmo problema??

avserve2.exe é o Worm.Sasser.b. Não foi modificado nada, mas em vez de avserve é avserve2. Worm.Sasser.c é igual Worm.Sasser.a mas tem tamanho diferente. A maioria dos anti-vírus detectou os 3 sem necesidade de atualização.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Vou fazer o mea culpa...

Rodei de novo o AVG depois de fazer todas as atualizações necessárias no windows e ele conseguiu "curar" meu computador. Então, salve AVG.

Só de curiosidade, pra q serve o shift + del??

Abraços...

Compartilhar este post


Link para o post
Compartilhar em outros sites
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×