Arquivo

Archive for maio \30\UTC 2005

Desativar relatório de erros e alertas – XP e 2000

30 de maio de 2005 5 comentários

O relatório de erros do XP e o envio de alertas administrativos do 2000, podem ser considerados como comedores de memória, e sob o ponto de vista prático, não possuem muita utilidade. Quem na Microsoft fica lendo estes relatórios? E se eles funcionassem, porque não surgem correções definitivas para nossos problemas???
Desativar eles pode descarregar um item a menos na sua memória, além de deixar o Windows, no geral, um pouco mais esperto.

No Windows XP, acione Propriedades do Meu Computador, guia Avançado, clique no botão ‘Relatório de Erros’ e a seguir em ‘Desativar relatório de erros’.

No Windows 2000, acione as Propriedades do Meu Computador, guia Avançado, clique no botão ‘Inicialização e Recuperação’ e desmarque o item ‘Enviar alerta administrativo’.

Categorias:Uncategorized

Vulnerabilidade do LSASS.EXE ou RPC – vírus Blaster, Sasser, isass.exe, etc

3 de maio de 2005 4 comentários

Existe o LSASS.EXE que é o processo do Windows e o ISASS.EXE que é um vírus. No caso do processo (com letra L de Laranja), o Sasser/Blaster/Bobax/Korgo podem infectar este arquivo. Atualize via www.windowsupdate.com para manter as correções instaladas e atualizadas! Veja este outro tópico sobre Windows Update: http://spaces.msn.com/members/mediugorie/Blog/cns!1p9gFWrrUkicL8WeZJt3H2xA!119.entry

O processo do Windows LSASS.EXE ou Local Security Authority Service é um processo do subsistema de segurança do Windows, e tem a finalidade de validar e verificar os logins de usuários no seu computador ou servidor. Tecnicamente, este processo opera para o serviço WINLOGON.
Se o erro acontece durante a instalação, e você tem ADSL, desconecte o cabo e conclua a instalação.

Correção para o Lsass:
Atualização de segurança para o Windows XP (KB835732)
Atualização de segurança para o Windows 2000 (KB835732)
Atualização de segurança para o Windows Server 2003 (KB835732)
Atualização de segurança para o Windows NT Workstation 4.0 (KB835732)
Atualização de segurança para o Windows NT Server 4.0 (KB835732)

Correção Lsass / Fix Sasser:  http://securityresponse.symantec.com/avcenter/FxSasser.exe

 

Correção para o RPC:
Blaster: Atualização de segurança para o Windows XP
Blaster: Atualização de segurança para o Windows 2000
Blaster: Atualização de segurança para o Windows Server 2003 32-Bit Edition
Blaster: Atualização de segurança para o Windows NT 4.0

Correção RPC / Fix Blaster:  http://securityresponse.symantec.com/avcenter/FixBlast.exe

 

O ISASS.EXE é um vírus que se infiltra no sistema, uma variante do OPTIX PRO TROJAN, que abre a porta TCP 3410 e permite que uma pessoa má intencionada assuma o controle de seu computador. Ele pode ter sido pego em algum site com programação Java hostil, via e-mail como anexo, ou por causa de um firewall/antivírus inexistente ou desativado. O nome, quando digitado em letras minúsculas se assemelha muito com o nome do processo do Windows lsass.exe, e isto faz ele passar quase desapercebido quando acessamos os processos listados no gerenciador de tarefas (Ctrl+Shift+Esc).

Como se não bastasse um vírus chamado ISASS.EXE, e um processo LSASS.EXE vulnerável, existem worms (vírus especializados em desencadear ataques nas redes), como o Sasser, o Blaster e o Win32.Worm.Bobax, variantes A a C que ainda ajudam a aumentar nossas dores de cabeça. Assim, todas as versões de worms como o Sasser, Blaster e Bobax tentam acessar uma faixa de endereços IP verificando se os sistemas apresentam a vulnerabilidade LSASS. Se eles encontram vulnerabilidade, enviam instruções para que o próprio equipamento faça o download e execute um arquivo contendo o código malicioso embutido no worm.
Mas como saber que isto está acontecendo no meu micro.. Um efeito colateral é o estouro de buffer que desencadeia o reinício do computador. Enquanto a vulnerabilidade LSASS somente afeta sistemas Windows XP ou 2000, o Bobax e suas variantes também podem afetar todas as demais versões do Windows. Nesse caso os worms não podem simplesmente entrar nos computadores de forma automática, sendo necessário que o usuário dê uma ajudinha, executando um arquivo que contenha algum exemplar do Bobax para que o equipamento seja infectado. Uma vez instalado no sistema, os worms Bobax abrem vários portas de comunicação de forma aleatória, permitindo a usuários maliciosos utilizar o sistema como um servidor SMTP para o envío de correio eletrônico. Sabe aquela história do seu amigo que te xingou porque mandou um monte de vírus para ele… E na verdade você nem tinha enviado e-mail nenhum na última semana. Para remover o Bobax, use a ferramenta da BitDefender

Recomendações para segurança do micro e remoção de intrusos:

1. Ative o Firewall de Conexão com a Internet no computador afetado.
2. Desconecte o computador da Internet.
3. Reinicie o computador. Se você obter problemas na reinicialização, inicie em modo de segurança.
4. Pressione CTRL+ALT+DEL.
5. Clique em Gerenciador de Tarefas.
6. Clique na guia Processos.
7. Mantenha pressionada a tecla CTRL e clique em C:WINDOWSavserve.exe e c:WINDOWSsystem32*_up.exe.
8. Clique no botão Finalizar tarefa.
9. Clique em Iniciar.
10. Clique em Pesquisar. Localize e apague os seguintes arquivos:
– C:WINDOWSavserve.exe
– C:WINDOWSsystem32*_up.exe
11. Clique em Iniciar novamente, clique em Executar e digite regedit.
12. Clique em OK.
13. No Editor de Registro, localize e apague a seguinte chave do Registro
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe
14. Conecte o computador à Internet
15. Acesse o site Windows Update e clique no botão Procurar por atualizações disponíveis.
16. Faça o download e instale as atualizações críticas recomendadas após a varredura.
e uma atualização preventiva é essa: http://www.rnp.br/cais/alertas/2004/MS04-011.html

Categorias:Uncategorized