Desde que el virus w32/Sasser.worm inició a los creadores de virus en la técnica de intrusión por desbordamiento de buffer del LSASS, son ya más de 50 los virus que intentan la intrusión a través de esta vulnerabilidad, en ordenadores de tecnología NT, W2000 y XP.

Si el antivirus del usuario está actualizado, y conoce el gusano que pretende entrar, se impedirá la entrada del mismo, pero si el sistema no tiene aplicado el parche de Microsoft (MS04-011), el error provocado por el intento de intrusión hace que Windows reinicie el sistema en 60 segundos.

Inicialmente, creamos una utilidad de eliminación exclusiva para w32/Sasser.worm (Elisassa), pero dado que cada día van apareciendo nuevos virus que, entre otras, utilizan la misma técnica para infectar, hemos desarrollado paralelamente otra utilidad más genérica, ELILSA.EXE, la cual va incluyendo el control y eliminación de todos los gusanos que aparecen, y que entran por el mismo agujero de seguridad, y además, su ejecución ofrece la posibilidad de bloqueo del intento de intrusión (cierre del puerto TCP 445), lo cual permite poder conectar a Internet, aceder de este modo a windowsupdate y actualizar los parches críticos pendientes de aplicación.

Con la última versión existente de ELILSA.EXE (en el momento de editar esta información, es la v2.5) se controlan y eliminan las siguientes variantes de virus:

 - w32/Sasser.worm (variantes .A, B, C, D, E, F y G)

- w32/Cycle.worm.A

- w32/StdBot.worm (variantes A, B, C y E) o w32/Kibuv.worm

- w32/Korgo.worm (variantes A, B, C, D, E, F, G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Y, Z, AA y AB)

- w32/Plexus (variantes .A, B y C)

- w32/Gaobot.worm (variantes.XP, IZ, KQ, NG y UC)

Cabe resaltar que algunas variantes de estos virus, como el w32/Korgo.worm o el w32/Gaobot,worm, también intentan su entrada por el agujero RPC/DCOM (parche de Microsoft MS04-012), por lo cual también son controlados por la utilidad ELIRPCA.

Pulse aquí para descargar ELILSA.EXE
Pulse aquí para descargar ELIRPCA.EXE