Desde el lunes 3-5-2004 ya solucionamos un elevado número de incidencias con el virus W32/Sasser.worm, que con la utilidad ELISASSA.EXE, instalando los parches de Microsoft y actualizando el antivirus estaba casi solucionado.

El problema surge cuando una máquina XP o W2000 tiene el antivirus actualizado pero no tiene aplicados los parches de Microsoft, o por lo menos no tiene el MS04-011 que es el de la vulnerabilidad explotada por dicho virus.

En tal caso el W32/Sasser.worm no llega a entrar gracias al antivirus, pero la falta de parches no impide el intento de intrusión, lo cual provoca un ERROR de Windows que inicia la cuenta atrás del apagado del sistema.

En las máquinas con acceso directo a Internet, como la conexión a Internet se realiza incluso antes de terminar de arrancar todas las aplicaciones, el virus ya puede atacar nuestro sistema apareciendo la pantalla azul con el contador de apagado, sin posibilidad de ejecutar nada ni acceder a Internet para bajar los parches.

Por ello hemos potenciado la utilidad ELISASSA.EXE con la v 1.2b, que dispone de dos opciones: STOP y START, para detener el intento de intrusión, y para bloquear el acceso al puerto TCP 445, en los casos que el reinicio sea inmediato y que no puedan descargarse los parches, lo cual pasa incluso arrancando en modo seguro con funciones de red, pues el virus no está siendo cargado desde el registro de sistema sino que intenta entrar por intrusión desde Internet (también solucionado con un cortafuegos, siempre y cuando el ataque nos llegue por Internet y no por un equipo de nuestra propia red).

En estos casos, podremos proceder de la siguiente forma:

1. Desconectar el cable de red

2. Encender el ordenador

3. Ejecutar desde Inicio/Ejecutar o desde una ventana al DOS, la instrucción ELISASSA /STOP y ante el mensaje de DETENIDO EL INTENTO DE INTRUSION, pulsar a Aceptar.

5. Una vez instalado, ejecutar ELISASSA /START o reiniciar el ordenador.