Virus

[Joaozava]

Toda vez que conecto a internet aparece uma janela disendo que meu computador vai reiniciar, so acontece isso quando conecto, já tinha acontecido isso comigo, dai passei aquele Stinger...não me lembro a versão...dai ele removeu alguns virus e beleza não aconteceu mais isso.

Dessa vez eu passei ele de novo (essa mesma versao), mas não resolveu...

o que eu devo fazer???

desde já agradeço...

[Colcci]

Prezado amigo

Recebi esta matéria, e creio que provavelmente você possa estar infectado

Foi anunciada neste ultimo sábado,dia 1 de maio, a descoberta do primeiro worm projectado exclusivamente para se aproveitar de falhas em componentes do Windows, divulgadas (e corrigidas) no mais recente boletim de segurança da Microsoft, o MS04-011, um dos mais críticos dos últimos meses.

Batizado de W32/Sasser.A, o código distribui-se automaticamente em redes de computadores aproveitando-se de uma falha no serviço LSASS (Local Security Authority Subsystem Service), que controla várias tarefas de segurança do Windows, incluindo o acesso ao sistema.

O worm Sasser tem várias semelhanças com o Blaster, surgido em agosto do ano passado. O aparecimento de ambos era esperado após a divulgação de falhas no Windows. Assim como o Blaster, o Sasser afecta o Windows 2000 e XP e pode bloquear ou reiniciar os sistemas com um aviso na tela. Uma cópia deste aviso pode ser vista no site da empresa antivírus F-Secure.

Sasser é um código escrito em Visual C++ que se envia por redes usando três portas TCP no processo: 445, 9996 e 5554. Pela porta 445, o worm varre a rede, a partir de uma máquina infectada, em busca de outras máquinas cuja vulnerabilidade do serviço LSASS não tenha sido corrigida. É nesta fase que os sistemas vulneráveis, ao serem atingidos, podem bloquear e desligar.

Se o ataque for bem-sucedido, o worm inicia comando shell (tela de acesso) na porta 9996, através da qual o sistema é instruído a fazer uma conexão FTP (transferência de arquivos) para baixar e executar o código final do worm. Este servidor FTP fica disponível na porta 5554 em todas as máquinas infectadas e é usado para distribuir o código maléfico para outras máquinas que estão sendo contaminadas. Toda a actividade do servidor FTP é guardada no arquivo C:win.log, que serve como indício de que um sistema foi infectado pelo worm.

Ao se instalar no sistema, o Sasser cria uma cópia de si mesmo no diretório do Windows, com o nome "avserve.exe". Este mesmo nome é adicionado à seguinte chave do registro: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun.

O worm também cria um mutex com nome de "Jobaka3l". Mutex é a sigla de mutual exclusion object e se refere a um programa que serve para controlar o acesso a recursos do sistema e evitar que mais de um processo utilize o mesmo recurso ao mesmo tempo.

Segundo um aviso criado pela F-Secure para actualização de informações sobre vírus, a incidência de casos de infecção pelo Sasser ainda é considerada baixa, talvez por causa do final de semana.

Para se proteger do worm, utilizadores do Windows devem actualizar seus sistemas no site Windows Update

Apesar de o Sasser ser considerado o primeiro worm -- isto é, um programa maléfico (malware) que possui rotinas para se auto-reproduzir sem o auxílio de outros arquivos -- criado especificamente para explorar as falhas do Windows divulgadas recentemente, outros tipos de malware já vinham se aproveitando das mesmas falhas.

Nesta linha, a Symantec divulgou esta semana a existência de ferramentas hackers classificadas como cavalos de Tróia (geralmente, sem capacidade de auto-reprodução), de nomes Hacktool.THCIISLame e Hacktool.LsassSba

O update para remoção do vírus pode ser encontrado em:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Atenciosamente

Luiz Cezar

Projeto - Consultoria em Segurança Virtual

[Joaozava]

Valeu cara...

vou fazer o update pra ver se me livro desse virus...

so vou ter que ver se realmente é este virus que minha maquina tem!

vlw pela ajuda...

[Cliford]

NOme do do virus:

Worm/LovScan/

Modo Blaster

Criando : Tony

Cidade: BELO HORINZONTE

Site: http://ritinha.com

[Joaozava]

Como que o pc é infectado por essa praga??....so o fato de estar conectado a internet já é suficiente?? pois comigo acho que foi assim que aconteceu...

eu so não tinha a atualização do win pois tinha acabado de formatar a maquina...

bom no meu caso era o sasser mesmo, então eu baixei o f-sasser.exe, executar esse arquivo e atualizar o win já é suficiente para remove-lo?? não é necessario fazer mais nada??....

depois de atualizar o win eu não corro mais o risco de pegar esse virus de novo ne??....

poxa ... quanta pergunta!!

[Colcci]

Caro colega!!!

Hoje em dias as pragas de vírus e worn estão cada vez mais sofisticadas, seu desenvolvimento faz com que apenas o ato de recebe-los acabe por infectar sua máquina, (isto mesmo, não precisa mais abrir as mensagens para ser infectado), acessos a sites de conteúdo não oriundo de fontes dúvidosas já são capazes de infectar nossas máquinas.

Quanto ao processo efetuado, são os primeiros requisitos básicos para se manter livre do bixinho. Agora dizer-se livre totalmente da praga, não sabemos até quando, pois sempre nascem variantes desses vírus, com algumas modificações cuja atualização e remoção da sua versão anterior não surtam mais efeito.

O negócio é sempre manter seu win atualizado, juntamente com seu antivírus, e um firewall para aumentar a segurança, e evitar, sites, e-mails. Como a maioria de nossos servidores de internet, não tem proteção antispam, pecam no cuidado e proteção de vírus, isto que recomendei, já dimunui o risco de novos problemas

[Joaozava]

So mais uma pergunta!!

O fireWall que estou usando é o Sygate Personal Firewall....

este é um bom firewall, qual você me recomendaria??

vlw!

[Colcci]

Vamos lá

O Sygate, tem se demonstrado um eficiente firewall, embora simples, se mostrou bastante eficiente quanto aos testes que efetuei, outros firewalls bons, que já analisei e se demonstraram bons foram:

Zone Alarm

Norton - Firewall (na minha opnião, o melhor do mercado).

[Joaozava]

Mais uma vez obrigado pela ajuda

[Nêutron]

eu não tenho umaa unica queixa do meu (sygate personal firewall pro)

[Joaozava]

Mas é preciso configurar ele direitinho né??....

Bom....caso seja necessário alguém poderia me passar algum tuto ou coisa parecida p/ eu aprender??

vlw!

[Nêutron]

claro...

não precisa, com um rasoavel conhecimento de inglish você configura ele bem

disponivel para download da versao trial/compra em http://smb.sygate.com

download da versaão não profissional em algum lugar em http://www.sygate.com

[Joaozava]

Valeu cara!! ....

Vou da uma fuçada aqui...