Veja também: Enquete Você sabe como manter o Windows atualizado? Claro que sim Sim, mas não o faço Isso é com o administrador Não uso o Windows Não sei como Notícias » Perguntas freqüentes sobre o Sasser » Sasser está entre os dez piores vírus » Sasser atinge bancos e empresas da UE » Netsky-AC se passa por vacina anti-Sasser » Como evitar e remover o Sasser » Vírus Sasser afeta milhões pelo mundo » Especialista teme pandemia do vírus Sasser » Vírus afeta trabalho de juízes penais espanhóis » Surge a variante 'D' do vírus Sasser » Vírus Sasser afeta a guarda costeira inglesa » Sasser pode se tornar mais perigoso e daninho » Especialistas temem que vírus Sasser se una ao Netsky » Alemão de 18 anos criou o vírus Sasser » Preso, alemão confessa ter criado o vírus Sasser » Autor do Sasser pode ter criado uma variante » Jovem pode ter criado Sasser para ajudar sua mãe Sites Relacionados » Conheça o E-mail Protegido Terra

Últimas sobre Vírus e Cia » Acusado de matar por comentário em site é solto » McAfee alerta para mensagem falsa da VoxCards » Netsky.P é o vírus mais agressivo do mundo » Novo vírus usa fofocas de Hollywood como isca Busca Saiba mais na Internet sobre: Download E-business Games Hacker Hardware Informática Internet Linux Macintosh MP3 Software Tecnologia Vírus Windows Faça sua pesquisa na Internet:

O sintoma típico é que o sistema reinicia a cada poucos minutos sem nenhuma ação do usuário. No Windows XP, pode aparecer uma janela com uma mensagem similar à seguinte:

LSA Shell (Export Version) encontrou um problema e precisa ser encerrado.
Sentimos muito pelo inconveniente.

No Windows 2000 aparece uma janela quase idêntica à provocada no Windows XP pelo worm Blaster ou Lovsan:

Desligamento do sistema

O sistema está sendo desligado. Por favor, salve todos os trabalhos em andamento e faça logoff. As alterações não salvas serão perdidas. Esta operação foi iniciada por AUTORIDADE NTSYSTEM

Tempo até o desligamento: xx:xx:xx

Mensagem
O Windows deve ser reiniciado porque o processo de sistema
c:WINNTsystem32lsass.exe terminou forma inesperada.

Além disso, na maioria dos sistemas infectados, o rendimento se degrada notadamente, devido ao fato de o worm lançar pelo menos 128 tarefas simultâneas.

2) Que danos o Sasser pode causar ao meu PC?

Este worm não causa nenhum dano aos arquivos locais dos computadores infectados, tampouco apaga ou altera dados dos mesmos.

O Sasser afeta o serviço de Internet devido principalmente ao excessivo tráfego que gera durante sua tentativa de infecção. Como resultado, os canais de transmissão podem saturar-se e o serviço de Internet será lento e intermitente.

No entanto, ao utilizar um acesso shell e deixar aberto um servidor FTP na máquina infectada, as possibilidades de que ferramentas criadas por hackers possam provocar danos imprevisíveis ao sistema infectado são muito grandes.

3) Quais versões do Windows são vulneráveis ao ataque?

As seguintes versões do Windows são vulneráveis ao ataque do Sasser:

• Windows 2000 SP2, SP3 e SP4
• Windows XP e Microsoft Windows XP Service Pack 1
• Windows XP 64-Bit Edition Service Pack 1
• Windows XP 64-Bit Edition Version 2003

Não são vulneráveis:

• Windows NT Workstation 4.0 Service Pack 6a
• Windows NT Server 4.0 Service Pack 6a
• Windows NT Server 4.0 Terminal Server Edition SP6
• Windows Server 2003
• Windows Server 2003 64-Bit Edition
• Windows 95, 98, 98 SE e Me

4) Como posso proteger meu computador desse worm?

Você deve seguir os seguintes passos para minimizar o risco de infecção pelo Sasser:

1. Atualizar seu programa antivírus e não desativá-lo enquanto estiver conectado à Internet.
2. Instalar um firewall pessoal e bloquear as portas 445, 5554 e 9996 (firewalls, como o ZoneAlarm e outros, bloqueiam essas portas sem necessidade de você indicá-las, se instalá-lo conforme se explica aqui, em espanhol).
3. Baixar e instalar todas as correções recomendadas pela Microsoft para eliminar a vulnerabilidade LSASS.

Lembre-se que o download e instalação das correções da Microsoft são importantes, já que isso evitará que seu computador seja atacado por meio das vulnerabilidades LSASS.

5) O que é um firewall e onde posso obtê-lo?

Um firewall é um programa especial que o protege de intrusos controlando a transferência de dados entre seu computador e a Internet. Um firewall filtra programas e pacotes maliciosos. Além disso, previne a conexão de aplicativos da área protegida à Internet. Para usuários domésticos, recomendamos:

Firewalls gratuitos para uso pessoal:

• Zone Alarm
• Outpost Firewall
• Kerio Personal Firewall

No Windows XP, pode-se utilizar o firewall integrado: Internet Connection Firewall (ICF). Para ativar o ICF no Windows XP, siga esses passos:

1. Selecione Iniciar, Painel de Controle, Conexões de Rede e Internet, Conexões de Rede.
2. Clique com o botão direito do mouse em "Conexão de Rede de Área Local" e selecione "Propriedades".
3. Na guia "Avançado", marque a opção "Proteger o computador e a rede limitando ou impedindo o acesso a este computador por meio da Internet".
4. Clique em "OK" etc.

Firewalls pagos:

• Kaspersky Anti-Hacker
• McAfee
• Symantec
• ZoneAlarm Pro
• Tiny Personal Firewall
• Outpost Firewall
• Kerio Personal Firewall
• BlackICE PC Protection

6) Como instalo as correções do Windows?

As correções MS04-011 podem ser baixadas dos seguintes links:

• Microsoft Windows 2000 SP2, SP3 e SP4
• Microsoft Windows XP e Microsoft Windows XP Service Pack 1

É preciso apenas baixá-las e então executá-las com seu equipamento desconectado da Internet. Um assistente o guiará durante o processo de instalação.

7) Não consigo baixar as correções porque meu computador reinicia constantemente

Caso seu computador se reinicie de forma contínua, o mais provável é que esteja infectado pelo worm Sasser. Nesse caso, aplique o processo para apagá-lo manualmente, como se indica nas descrições seguintes (em espanhol):

• W32/Sasser.A. Primeiro worm a utilizar a vulnerabilidade LSASS
• W32/Sasser.B. Primeiro worm a utilizar a vulnerabilidade LSASS

Mas ative ao menos o firewall integrado (no caso do XP) antes de conectar-se para baixar as correções mencionadas.

8) Que faço se meu computador já está infectado pelo worm Sasser?

Neste caso, você deve verificar se seu antivírus está atualizado e executar uma verificação completa de todos os seus discos.

9) Já removi o worm Sasser, mas meu computador torna a se infectar

Os procedimentos de limpeza servem exatamente para isso, "limpam" ou removem o worm do computador infectado, mas não o protegem de ataques posteriores.

Você deverá instalar as correções da Microsoft e seguir as recomendações já explicadas (antivírus em dia, firewall etc.).

10) Se já removi o worm, por que ainda me pedem para formatar meu equipamento?

Este worm cria uma shell (um console de comando) que pode permitir a entrada de quase qualquer tipo de instrução que comprometa o sistema. Também abre um servidor FTP que permite acesso a qualquer arquivo. E não há nada que nos assegure que ao remover o Sasser do nosso sistema, nos livremos da possibilidade de que alguém tenha deixado um outro "presente" em nosso computador.

Por outro lado, não há modo de saber quantas modificações do exploit de que se vale o worm (na verdade, se ele usa dois) estão circulando na Internet e quantas formas maliciosas podem chegar a ser criadas a partir dos mesmos.

Por isso, detectar uma infecção com o worm Sasser mereceria não só a limpeza do sistema infectado, mas a completa reinstalação do mesmo (e a posterior instalação das correções e instalação ou ativação de um firewall), como única forma de assegurar-se contra as possíveis conseqüências.

A infecção pelo Sasser deve ser tomada como um sinal de alarme. Se ocorre, deve-se seguir estes passos:

• Apagar o worm como se indicou anteriormente
• Fazer backup das informações importantes (não dos programas)
• Formatar os discos para nos assegurarmos de que o sistema está realmente limpo, e reinstalar o sistema operacional e todos os programas
• MUITO IMPORTANTE: instalar as correções correspondentes e ativar um firewall, além de manter um antivírus atualizado.