Optimizando la Bios
Para muchos usuarios la BIOS pasa por un componente casi desconocido y que muy pocos se atreven a tocar. Pero este componente tiene mucha más importancia de la que se le puede dar en un principio ya que una configuración optima de la BIOS puede significar un aumento considerable de prestaciones en nuestro equipo.
Vamos por partes. Básicamente la BIOS (Basic Input Output System) consta de una memoria ROM (Read Only Memory) que se encarga de la comunicación entre los componentes de un equipo y memoria EEPROM(Electrical Eraseable Programmable) o Flash para poder actualizarlas.
Cuando encendemos nuestro ordenador, la BIOS comprueba que todo funciona correctamente mediante el llamado POST (Power On Self Test), de manera que si algo fallo nuestro "speaker" emitirá una serie de pitidos que según el fabricante de la BIOS (no de la placa base) tendrán un significado u otro.
Si este test es correcto, se ejecutan las instrucciones que nosotros hemos configurado en el "setup" de la BIOS y que se guardan en la CMOS y que es mediante una pila de 3v se mantienen a salvo.
Normalmente para entrar en la BIOS se pulsa la tecla del, F1, F2, F10 y si no es alguna de estas se suele mostrar en pantalla un mensaje del tipo: "Press ---- key to enter setup" siendo ---- la tecla o grupo de teclas necesarios para entrar en el setup.
- Opciones para optimizar CPU -
CPU Host/PCI Clock: Modifica la velocidad del FSB (Front Side Bus) que es la velocidad de la Placa Base. Si cambiamos este valor se cambia la velocidad general de todos los componentes no solo de la CPU. Mejor no tocarlo.
CPU Frequency Multiplier: Cambia la frecuencia del multiplicador de la CPU. Si se cambia esta opción se puede aumentar la velocidad interna del procesador pero hay que vigilar mucho la temperatura de este.
CPU/Memory Frequency Ratio: Selecciona la velocidad de la RAM según la velocidad del FSB.
CPU to PCI Buffer: Aumenta el rendimiento si lo ponemos Enabled, ya que los datos que van al PCI se ponen en el buffer de escritura y pueden ser procesados sin necesidad de ciclos de reloj del procesador.
CPU VCore: Esto indica el voltaje de la CPU, es muy peligroso modificarlo y por norma general no se puede ya que las placas lo seleccionan automaticamente.
Spread Spectrum: Mejor dejarlo desactivado ya que es una opción que reduce el rendimiento del procesador para evitar interferencias.
System BIOS Cacheable: Almacena la BIOS en la cache del procesador acelerando los accesos a esta. Mejor dejarlo Enable.
-Opciones para optimizar la RAM –
Active to Precharge Delay: Establece los ciclos que tiene que esperar la cpu para el acceso a la memoria. Un valor reducido incrementa rendimiento pero disminuye estabilidad.
CAS Latency Time: Si nuestra memoria es buena se puede probar el reducir este valor pero puede dar problemas.
DRAM CAS Timing Delay: Los datos están en memoria almacenados mediante filas y columnas y para acceder a ellos se utilizan las direcciones RAS (Row Address Strobe) y CAS (Column Address Strobe). Un valor bajo aumenta el rendimiento pero puede afectar a la estabilidad del sistema.
DRAM RAS# to CAS# Delay: Tiempo entre el acceso a las direcciones de memoria a la hora de refrescarse. Un valor bajo aumenta el rendimiento.
DRAM Integrity Mode: Activa o desactiva el ECC (Error Correction(Checking) de la memoria. En disable acelera el sistema pero puede dar errores.
Precharge Delay: Ciclos de reloj antes de refrescar la memoria. Un numero muy bajo puede volver el sistema inestable.
DRAM Refresh Method: Aumenta o disminuye el intervalo entre un acceso a memoria y otro en la misma DRAM.
SDRAM Configuration: Modo Automatico SPD (Serial Presence Detect) configura la memoria según las opciones que incluye una memoria eeprom que tienen casi todos los modulos de memoria RAM, o el modo Manual.
Fast Page Mode DRAM: Enabled accelera la velocidad de acceso a la memoria.
Memory Frequency For: En las memorias DDR sirve para elegir la velocidad. Siempre tiene que ser igual a la que está preparada para soportar esa memoria.
RAS Active Time: Permite que se reciban múltiples accesos a las direcciones RAS. Enabled aumenta rendimiento.
-Opciones para optimizar la Tarjeta Gráfica –
AGP Aperture Size: Tamaño que se reserva en la memoria RAM del sistema para guardar texturas gráficas. Por norma general suele dejarse la mitad de la memoria RAM pero si se tienen problemas con juegos en 3D como bloqueos se puede reducir.
AGP Capability: Selección de la velocidad del puerto AGP (1X, 2X, 4X). ¡¡OJO!! Los nuevos P4 solo trabajan con tarjetas gráficas de 1,5 Voltios por lo que si colocamos una de 3,3 Voltios podriamos dañar la placa base. Algunas de estas tarjetas son nVidia Riva TNT2, Vanta, SiS 6326 y 6305, Voodoo 3,4 y 5 y algunas Gforce 2/GTS Pro.
AGPCLK/CPUCLK: Indica la relación entre el Bus AGP y el PCI.
AGP Master 1 WS Write/Read: Estas dos opciones establecen los ciclos de espera en las operaciones con la tarjeta gráfica. Disable acelera el rendimiento pero disminuye la estabilidad.
Asign IRQ to VGA: Activado aumenta el rendimiento.
Fast Writes: Las tarjetas dotadas de GPU como las Gforce usan esta opción para liberar a la CPU de carga.
PCI/VGA Palette Snoop: Se activa solo si tienes problemas con capturadoras ISA. Mejor si está en Disabled.
Primary VGA BIOS: Selecciona la tarjeta gráfica principal en el caso de que tengamos más de una. (AGP o PCI)
Video BIOS Cacheable: Si la tarjeta tiene BIOS propia no hay que activar esta opción ya que es contraproducente.
-Opciones para optimizar los puertos externos –
ECP DMA Select: Elige el puerto DMA (Direct Memory Access). Mejor dejarlo en Auto o en 3 ya que muchas tarjetas de sonido usan el 1.
Parallel Port Mode: Indica el tipo de puerto paralelo que usaremos:
Normal o SPP: Solo trabaja en una dirección (Standard Parallel Port)
EPP: Puerto paralelo mejorado o bidireccional (Enhanced Parallel Port)
ECP: Permite al puerto funcionar en modo DMA (Extended Capability Port)
EPP+ECP: Es la mejor opción de todas, trabaja bidireccionalmente y con acceso directo a memoria.
USB Legacy Support: Si se desactiva puede que el sistema no reconozca el USB.
Boot Up NumLock Status: Activa o desactiva el teclado numérico en el arranque.
PS/2 Function Control: Reserva la IRQ 12 para el ratón si se usa el puerto PS/2. Mejor en Auto por si el ratón es USB.
Programas gratis
Vamos por partes. Básicamente la BIOS (Basic Input Output System) consta de una memoria ROM (Read Only Memory) que se encarga de la comunicación entre los componentes de un equipo y memoria EEPROM(Electrical Eraseable Programmable) o Flash para poder actualizarlas.
Cuando encendemos nuestro ordenador, la BIOS comprueba que todo funciona correctamente mediante el llamado POST (Power On Self Test), de manera que si algo fallo nuestro "speaker" emitirá una serie de pitidos que según el fabricante de la BIOS (no de la placa base) tendrán un significado u otro.
Si este test es correcto, se ejecutan las instrucciones que nosotros hemos configurado en el "setup" de la BIOS y que se guardan en la CMOS y que es mediante una pila de 3v se mantienen a salvo.
Normalmente para entrar en la BIOS se pulsa la tecla del, F1, F2, F10 y si no es alguna de estas se suele mostrar en pantalla un mensaje del tipo: "Press ---- key to enter setup" siendo ---- la tecla o grupo de teclas necesarios para entrar en el setup.
- Opciones para optimizar CPU -
CPU Host/PCI Clock: Modifica la velocidad del FSB (Front Side Bus) que es la velocidad de la Placa Base. Si cambiamos este valor se cambia la velocidad general de todos los componentes no solo de la CPU. Mejor no tocarlo.
CPU Frequency Multiplier: Cambia la frecuencia del multiplicador de la CPU. Si se cambia esta opción se puede aumentar la velocidad interna del procesador pero hay que vigilar mucho la temperatura de este.
CPU/Memory Frequency Ratio: Selecciona la velocidad de la RAM según la velocidad del FSB.
CPU to PCI Buffer: Aumenta el rendimiento si lo ponemos Enabled, ya que los datos que van al PCI se ponen en el buffer de escritura y pueden ser procesados sin necesidad de ciclos de reloj del procesador.
CPU VCore: Esto indica el voltaje de la CPU, es muy peligroso modificarlo y por norma general no se puede ya que las placas lo seleccionan automaticamente.
Spread Spectrum: Mejor dejarlo desactivado ya que es una opción que reduce el rendimiento del procesador para evitar interferencias.
System BIOS Cacheable: Almacena la BIOS en la cache del procesador acelerando los accesos a esta. Mejor dejarlo Enable.
-Opciones para optimizar la RAM –
Active to Precharge Delay: Establece los ciclos que tiene que esperar la cpu para el acceso a la memoria. Un valor reducido incrementa rendimiento pero disminuye estabilidad.
CAS Latency Time: Si nuestra memoria es buena se puede probar el reducir este valor pero puede dar problemas.
DRAM CAS Timing Delay: Los datos están en memoria almacenados mediante filas y columnas y para acceder a ellos se utilizan las direcciones RAS (Row Address Strobe) y CAS (Column Address Strobe). Un valor bajo aumenta el rendimiento pero puede afectar a la estabilidad del sistema.
DRAM RAS# to CAS# Delay: Tiempo entre el acceso a las direcciones de memoria a la hora de refrescarse. Un valor bajo aumenta el rendimiento.
DRAM Integrity Mode: Activa o desactiva el ECC (Error Correction(Checking) de la memoria. En disable acelera el sistema pero puede dar errores.
Precharge Delay: Ciclos de reloj antes de refrescar la memoria. Un numero muy bajo puede volver el sistema inestable.
DRAM Refresh Method: Aumenta o disminuye el intervalo entre un acceso a memoria y otro en la misma DRAM.
SDRAM Configuration: Modo Automatico SPD (Serial Presence Detect) configura la memoria según las opciones que incluye una memoria eeprom que tienen casi todos los modulos de memoria RAM, o el modo Manual.
Fast Page Mode DRAM: Enabled accelera la velocidad de acceso a la memoria.
Memory Frequency For: En las memorias DDR sirve para elegir la velocidad. Siempre tiene que ser igual a la que está preparada para soportar esa memoria.
RAS Active Time: Permite que se reciban múltiples accesos a las direcciones RAS. Enabled aumenta rendimiento.
-Opciones para optimizar la Tarjeta Gráfica –
AGP Aperture Size: Tamaño que se reserva en la memoria RAM del sistema para guardar texturas gráficas. Por norma general suele dejarse la mitad de la memoria RAM pero si se tienen problemas con juegos en 3D como bloqueos se puede reducir.
AGP Capability: Selección de la velocidad del puerto AGP (1X, 2X, 4X). ¡¡OJO!! Los nuevos P4 solo trabajan con tarjetas gráficas de 1,5 Voltios por lo que si colocamos una de 3,3 Voltios podriamos dañar la placa base. Algunas de estas tarjetas son nVidia Riva TNT2, Vanta, SiS 6326 y 6305, Voodoo 3,4 y 5 y algunas Gforce 2/GTS Pro.
AGPCLK/CPUCLK: Indica la relación entre el Bus AGP y el PCI.
AGP Master 1 WS Write/Read: Estas dos opciones establecen los ciclos de espera en las operaciones con la tarjeta gráfica. Disable acelera el rendimiento pero disminuye la estabilidad.
Asign IRQ to VGA: Activado aumenta el rendimiento.
Fast Writes: Las tarjetas dotadas de GPU como las Gforce usan esta opción para liberar a la CPU de carga.
PCI/VGA Palette Snoop: Se activa solo si tienes problemas con capturadoras ISA. Mejor si está en Disabled.
Primary VGA BIOS: Selecciona la tarjeta gráfica principal en el caso de que tengamos más de una. (AGP o PCI)
Video BIOS Cacheable: Si la tarjeta tiene BIOS propia no hay que activar esta opción ya que es contraproducente.
-Opciones para optimizar los puertos externos –
ECP DMA Select: Elige el puerto DMA (Direct Memory Access). Mejor dejarlo en Auto o en 3 ya que muchas tarjetas de sonido usan el 1.
Parallel Port Mode: Indica el tipo de puerto paralelo que usaremos:
Normal o SPP: Solo trabaja en una dirección (Standard Parallel Port)
EPP: Puerto paralelo mejorado o bidireccional (Enhanced Parallel Port)
ECP: Permite al puerto funcionar en modo DMA (Extended Capability Port)
EPP+ECP: Es la mejor opción de todas, trabaja bidireccionalmente y con acceso directo a memoria.
USB Legacy Support: Si se desactiva puede que el sistema no reconozca el USB.
Boot Up NumLock Status: Activa o desactiva el teclado numérico en el arranque.
PS/2 Function Control: Reserva la IRQ 12 para el ratón si se usa el puerto PS/2. Mejor en Auto por si el ratón es USB.
Programas gratis
Los Virus Sintomas
1. ¿Cómo saber si mi PC está infectado?
El síntoma típico es que el sistema se reinicia cada pocos minutos sin ninguna acción del usuario.
En Windows XP, puede mostrarse una ventana con un mensaje muy similar al siguiente:
LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos los inconvenientes ocasionados.
En Windows 2000 aparece una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster o Lovsan:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.
Además, en la mayoría de los sistemas infectados, el rendimiento del mismo se degrada notoriamente, debido a que el gusano lanza 128 tareas simultáneas.
2. ¿Qué daño puede causar Sasser a mi PC?
Este gusano no provoca ningún daño a los archivos locales de las computadoras infectadas, tampoco borra o cambia datos en las mismas.
Sasser afecta el servicio de Internet debido principalmente al excesivo tráfico que genera durante su intento de infección. Como resultado, los canales de transmisión pueden saturarse y el servicio de Internet será lento e intermitente.
Sin embargo, al utilizar un acceso shell y dejar abierto un servidor FTP en la máquina infectada, las posibilidades de que herramientas creadas por piratas informáticos puedan provocar daños impredecibles al sistema infectado son muy grandes.
3. ¿Cuáles versiones de Windows son vulnerables al ataque?
Las siguientes versiones de Windows son vulnerables al ataque del Sasser:
Windows 2000 SP2, SP3 y SP4
Windows XP y Microsoft Windows XP Service Pack 1
Windows XP 64-Bit Edition Service Pack 1
Windows XP 64-Bit Edition Version 2003
No son vulnerables:
Windows NT Workstation 4.0 Service Pack 6a
Windows NT Server 4.0 Service Pack 6a
Windows NT Server 4.0 Terminal Server Edition SP6
Windows Server 2003
Windows Server 2003 64-Bit Edition
Windows 95, 98, 98 SE y Me
4. ¿Cómo puedo proteger mi computadora de éste gusano?
Usted debe seguir los siguientes pasos para minimizar el riesgo de infección con el Sasser:
a. Actualizar su programa antivirus y no desactivarlo mientras este conectado a Internet.
b. Instalar un cortafuegos personal y bloquear los puertos 445, 5554 y 9996 (cortafuegos como ZoneAlarm y otros, bloquean estos puertos sin necesidad de que usted lo deba indicar, si lo instala como se explica en nuestras páginas http://www.vsantivirus.com/za.htm).
c. Descargar y aplicar los parches recomendados por Microsoft para eliminar la vulnerabilidad LSASS.
Recuerde que la descarga y aplicación de los parches de Microsoft son importantes ya que estos evitarán que su computadora sea atacada mediante la vulnerabilidad LSASS.
5. ¿Que es un cortafuegos y donde puedo obtenerlo?
Un cortafuegos es un programa especial que lo protege contra intrusos controlando la transferencia de datos entre Internet y su computadora. Un cortafuegos filtra programas y paquetes maliciosos. Además previene la conexión de aplicaciones del área protegida hacia Internet.
Para usuarios caseros recomendamos:
Cortafuegos gratuitos para uso personal:
ZoneAlarm
http://www.vsantivirus.com/za.htm
Outpost Firewall
http://www.protegerse.com/outpost/
Kerio Personal Firewall
http://www.beeeeee.net/nautopia/kerio3.htm
En Windows XP, puede utilizar el cortafuegos integrado: Internet Connection Firewall (ICF)
Para activar ICF en Windows XP, siga estos pasos:
a. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.
b. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.
c. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".
d. Seleccione Aceptar, etc.
Cortafuegos de pago:
Kaspersky Anti-Hacker
http://www.kaspersky.com/buyonline.html?chapter=964564
McAfee
http://us.mcafee.com/root/offer/default.asp?id=
4705&affid=0&cid=&lpname=offer%5F470%2Easp
Symantec
http://www.symantec.com/sabu/nis/npf/
ZoneAlarm Pro
http://www.zonelabs.com/store/content/catalog/products/zap/zap_details.jsp
Tiny Personal Firewall
http://www.tinysoftware.com/home/tiny2?la=EN
Outpost Firewall
http://www.protegerse.com/outpost/
Kerio Personal Firewall
http://www.kerio.com/us/kpf_download.html
BlackICE PC Protection
http://blackice.iss.net/product_pc_protection.php
6. ¿Cómo instalo los parches de Windows?
Los parches MS04-011, pueden ser descargados de los siguientes enlaces:
Microsoft Windows 2000 SP2, SP3 y SP4
http://www.microsoft.com/downloads/details.aspx?FamilyId=
0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=es
Microsoft Windows XP and Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=
3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es
Solo necesita descargarlos y ejecutarlos en su equipo desconectado de Internet. Un asistente lo guiará durante el proceso de instalación.
7. No puedo descargar los parches de Microsoft porque mi computadora se reinicia constantemente.
En caso de que su computadora se reinicie en forma continua, lo mas probable es que esté infectada por el gusano Sasser. En ese caso aplique el proceso para borrar manualmente el gusano como se indica en las siguientes descripciones:
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm
W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm
W32/Sasser.C. Variante recompilada del Sasser.B
http://www.vsantivirus.com/sasser-c.htm
W32/Sasser.D. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-d.htm
W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm
Luego active al menos el cortafuegos integrado (en el caso del XP), antes de conectarse para descargar los parches mencionados.
8. ¿Qué hago si mi computadora ya está infectada por el gusano Sasser?
En este caso usted debe verificar que su antivirus esté actualizado y ejecutar un escaneo completo a todos sus discos.
9. Ya quité el gusano Sasser pero mi computadora se vuelve a infectar.
Los procedimientos de limpieza, sirven justamente para eso, "limpian" o remueven el gusano del equipo infectado, pero no lo protegen de ataques posteriores. Usted deberá aplicar los parches de Microsoft, y seguir las recomendaciones ya explicadas (antivirus al día, cortafuegos, etc.).
10. ¿Porqué si he quitado el gusano, aún me piden que debo formatear mi equipo?
Este gusano crea un shell (una consola de comandos), que puede permitir el ingreso de casi cualquier tipo de instrucción que comprometa a nuestro sistema. También abre un servidor FTP que permite el acceso a cualquier archivo. Y no hay nada que nos asegure que por borrar al Sasser de nuestro sistema, nos libraremos de la posibilidad de que alguien haya dejado otro regalo en nuestra computadora.
Por otra parte, no hay forma de saber cuántas modificaciones del exploit del que se vale el gusano (en realidad utiliza dos), están dando vueltas por Internet, y cuantas formas maliciosas pueden llegar a crearse a partir de los mismos.
Por ello, detectar una infección con el gusano Sasser, ameritaría no solo la limpieza del sistema infectado, sino la completa reinstalación del mismo (y posterior actualización de los parches e instalación o activación de un cortafuegos), como única forma de asegurarnos contra las posibles consecuencias.
La infección con el Sasser debe ser tomada como una señal de alarma. Si ocurre, hay que seguir estos pasos:
a. Borrar el gusano como se indicó antes.
b. Respaldar la información importante (no los programas)
c. Formatear nuestros discos para asegurarnos de que el sistema está limpio realmente, y reinstalar el sistema operativo y todos los programas.
d. MUY IMPORTANTE: instalar el parche correspondiente, y activar un cortafuegos, además de mantener al día nuestros antivirus.
Relacionados:
Sistema comprometido: "derribar y reconstruir"
http://www.vsantivirus.com/derribar-reconstruir.htm
El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm
W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm
W32/Sasser.C. Variante recompilada del Sasser.A
http://www.vsantivirus.com/sasser-c.htm
W32/Sasser.D. Nueva variante del gusano
http://www.vsantivirus.com/sasser-d.htm
W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm
Capturados autores del Sasser, del Netsky y del Agobot
http://www.vsantivirus.com/ev-captura-sasser.htm
El síntoma típico es que el sistema se reinicia cada pocos minutos sin ninguna acción del usuario.
En Windows XP, puede mostrarse una ventana con un mensaje muy similar al siguiente:
LSA Shell (Export Version) ha encontrado un problema
y debe cerrarse. Sentimos los inconvenientes ocasionados.
En Windows 2000 aparece una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster o Lovsan:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
El proceso del sistema
C:\WINNT\system32\lsass.exe terminó
de forma inesperada indicando código 0
Windows debe reiniciar ahora.
Además, en la mayoría de los sistemas infectados, el rendimiento del mismo se degrada notoriamente, debido a que el gusano lanza 128 tareas simultáneas.
2. ¿Qué daño puede causar Sasser a mi PC?
Este gusano no provoca ningún daño a los archivos locales de las computadoras infectadas, tampoco borra o cambia datos en las mismas.
Sasser afecta el servicio de Internet debido principalmente al excesivo tráfico que genera durante su intento de infección. Como resultado, los canales de transmisión pueden saturarse y el servicio de Internet será lento e intermitente.
Sin embargo, al utilizar un acceso shell y dejar abierto un servidor FTP en la máquina infectada, las posibilidades de que herramientas creadas por piratas informáticos puedan provocar daños impredecibles al sistema infectado son muy grandes.
3. ¿Cuáles versiones de Windows son vulnerables al ataque?
Las siguientes versiones de Windows son vulnerables al ataque del Sasser:
Windows 2000 SP2, SP3 y SP4
Windows XP y Microsoft Windows XP Service Pack 1
Windows XP 64-Bit Edition Service Pack 1
Windows XP 64-Bit Edition Version 2003
No son vulnerables:
Windows NT Workstation 4.0 Service Pack 6a
Windows NT Server 4.0 Service Pack 6a
Windows NT Server 4.0 Terminal Server Edition SP6
Windows Server 2003
Windows Server 2003 64-Bit Edition
Windows 95, 98, 98 SE y Me
4. ¿Cómo puedo proteger mi computadora de éste gusano?
Usted debe seguir los siguientes pasos para minimizar el riesgo de infección con el Sasser:
a. Actualizar su programa antivirus y no desactivarlo mientras este conectado a Internet.
b. Instalar un cortafuegos personal y bloquear los puertos 445, 5554 y 9996 (cortafuegos como ZoneAlarm y otros, bloquean estos puertos sin necesidad de que usted lo deba indicar, si lo instala como se explica en nuestras páginas http://www.vsantivirus.com/za.htm).
c. Descargar y aplicar los parches recomendados por Microsoft para eliminar la vulnerabilidad LSASS.
Recuerde que la descarga y aplicación de los parches de Microsoft son importantes ya que estos evitarán que su computadora sea atacada mediante la vulnerabilidad LSASS.
5. ¿Que es un cortafuegos y donde puedo obtenerlo?
Un cortafuegos es un programa especial que lo protege contra intrusos controlando la transferencia de datos entre Internet y su computadora. Un cortafuegos filtra programas y paquetes maliciosos. Además previene la conexión de aplicaciones del área protegida hacia Internet.
Para usuarios caseros recomendamos:
Cortafuegos gratuitos para uso personal:
ZoneAlarm
http://www.vsantivirus.com/za.htm
Outpost Firewall
http://www.protegerse.com/outpost/
Kerio Personal Firewall
http://www.beeeeee.net/nautopia/kerio3.htm
En Windows XP, puede utilizar el cortafuegos integrado: Internet Connection Firewall (ICF)
Para activar ICF en Windows XP, siga estos pasos:
a. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.
b. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.
c. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".
d. Seleccione Aceptar, etc.
Cortafuegos de pago:
Kaspersky Anti-Hacker
http://www.kaspersky.com/buyonline.html?chapter=964564
McAfee
http://us.mcafee.com/root/offer/default.asp?id=
4705&affid=0&cid=&lpname=offer%5F470%2Easp
Symantec
http://www.symantec.com/sabu/nis/npf/
ZoneAlarm Pro
http://www.zonelabs.com/store/content/catalog/products/zap/zap_details.jsp
Tiny Personal Firewall
http://www.tinysoftware.com/home/tiny2?la=EN
Outpost Firewall
http://www.protegerse.com/outpost/
Kerio Personal Firewall
http://www.kerio.com/us/kpf_download.html
BlackICE PC Protection
http://blackice.iss.net/product_pc_protection.php
6. ¿Cómo instalo los parches de Windows?
Los parches MS04-011, pueden ser descargados de los siguientes enlaces:
Microsoft Windows 2000 SP2, SP3 y SP4
http://www.microsoft.com/downloads/details.aspx?FamilyId=
0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=es
Microsoft Windows XP and Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=
3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=es
Solo necesita descargarlos y ejecutarlos en su equipo desconectado de Internet. Un asistente lo guiará durante el proceso de instalación.
7. No puedo descargar los parches de Microsoft porque mi computadora se reinicia constantemente.
En caso de que su computadora se reinicie en forma continua, lo mas probable es que esté infectada por el gusano Sasser. En ese caso aplique el proceso para borrar manualmente el gusano como se indica en las siguientes descripciones:
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm
W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm
W32/Sasser.C. Variante recompilada del Sasser.B
http://www.vsantivirus.com/sasser-c.htm
W32/Sasser.D. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-d.htm
W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm
Luego active al menos el cortafuegos integrado (en el caso del XP), antes de conectarse para descargar los parches mencionados.
8. ¿Qué hago si mi computadora ya está infectada por el gusano Sasser?
En este caso usted debe verificar que su antivirus esté actualizado y ejecutar un escaneo completo a todos sus discos.
9. Ya quité el gusano Sasser pero mi computadora se vuelve a infectar.
Los procedimientos de limpieza, sirven justamente para eso, "limpian" o remueven el gusano del equipo infectado, pero no lo protegen de ataques posteriores. Usted deberá aplicar los parches de Microsoft, y seguir las recomendaciones ya explicadas (antivirus al día, cortafuegos, etc.).
10. ¿Porqué si he quitado el gusano, aún me piden que debo formatear mi equipo?
Este gusano crea un shell (una consola de comandos), que puede permitir el ingreso de casi cualquier tipo de instrucción que comprometa a nuestro sistema. También abre un servidor FTP que permite el acceso a cualquier archivo. Y no hay nada que nos asegure que por borrar al Sasser de nuestro sistema, nos libraremos de la posibilidad de que alguien haya dejado otro regalo en nuestra computadora.
Por otra parte, no hay forma de saber cuántas modificaciones del exploit del que se vale el gusano (en realidad utiliza dos), están dando vueltas por Internet, y cuantas formas maliciosas pueden llegar a crearse a partir de los mismos.
Por ello, detectar una infección con el gusano Sasser, ameritaría no solo la limpieza del sistema infectado, sino la completa reinstalación del mismo (y posterior actualización de los parches e instalación o activación de un cortafuegos), como única forma de asegurarnos contra las posibles consecuencias.
La infección con el Sasser debe ser tomada como una señal de alarma. Si ocurre, hay que seguir estos pasos:
a. Borrar el gusano como se indicó antes.
b. Respaldar la información importante (no los programas)
c. Formatear nuestros discos para asegurarnos de que el sistema está limpio realmente, y reinstalar el sistema operativo y todos los programas.
d. MUY IMPORTANTE: instalar el parche correspondiente, y activar un cortafuegos, además de mantener al día nuestros antivirus.
Relacionados:
Sistema comprometido: "derribar y reconstruir"
http://www.vsantivirus.com/derribar-reconstruir.htm
El gusano Sasser, las lecciones no aprendidas
http://www.vsantivirus.com/02-05-04.htm
MS04-011 Actualización crítica de Windows (835732)
http://www.vsantivirus.com/vulms04-011.htm
W32/Sasser.A. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-a.htm
W32/Sasser.B. Primer gusano que usa vulnerabilidad LSASS
http://www.vsantivirus.com/sasser-b.htm
W32/Sasser.C. Variante recompilada del Sasser.A
http://www.vsantivirus.com/sasser-c.htm
W32/Sasser.D. Nueva variante del gusano
http://www.vsantivirus.com/sasser-d.htm
W32/Sasser.E. Se puede ejecutar en Windows 9x y Me
http://www.vsantivirus.com/sasser-e.htm
Capturados autores del Sasser, del Netsky y del Agobot
http://www.vsantivirus.com/ev-captura-sasser.htm