Daboweb

Desinfección y vacuna virus Blaster

Publicado por Dabo on febrero 13, 2005
Seguridad Informática

Procedimiento de eliminacion del  virus blaster, RPC ( Remote Procedure Call) y descarga del parche para evitar la infección del pc  y vacuna para su eliminación…

 
         El virus blaster se está propagando masivamente, aprovecha una vulnerabilidad conocida en Windows través de la cual un atacante puede lograr la ejecución de código.

            Remote Procedure Call (RPC) es un protocolo empleado por los sistemas operativos Windows para proporcionar mecanismos de comunicación entre procesos de forma que un programa que se ejecute en un sistema pueda ejecutar código en un sistema remoto de forma transparente. La implementación de Microsoft de este protocolo está derivada del protocolo RPC de la OSF (Open Software Foundation) pero con la inclusión de algunas extensiones específicas de Microsoft.

El protocolo RPC se utiliza para que un programa pueda ejecutar código en un ordenador remoto. Por ejemplo, se utiliza el protocolo RPC para la compartición de las impresoras de una red. En el caso de Windows, el servicio RPC está asociado al puerto 135/tcp."

Alias
Nombre: W32/Lovsan.A (MSBlast)
Tipo: Gusano de Internet, caballo de Troya
Alias: W32/Lovsan.worm, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm, Win32.Poza, WORM_MSBLAST.A, W32/Blaster-A, Win32/Lovsan.A, Poza, Win32.Poza, Blaster
http://www.vsantivirus.com/lovsan-a.htm

Ataca a sistemas
Windows 2000
Windows XP (home y profesional)
Windows NT
Windows 2003 server

Efectos sobre la máquina afectada, (los más destacados)

Provoca ataques DOS (denegación de servicio) al sitio Windows Update y al PC afectado
Fuerza un reinicio continuo de la máquina afectada haciendo muy difícil su reparación
Provoca un aumento del tráfico en los puertos de red por los puertos TCP 135 y 4444, y UDP 69. Haciendo la navegación casi imposible


Para parchear el sistema afectado y más info de Microsoft (fundamental además de haber bajado la vacuna)

En la mitad de la pagina vereis algo asi:

Windows NT 4.0 Server

Windows NT 4.0 Terminal Server Edition

Windows 2000

Windows XP 32 bit Edition

Windows XP 64 bit Edition (en inglés)

Windows Server 2003 32 bit Edition

Windows Server 2003 64 bit Edition (en inglés)

pinchar en el vuestro aqui debajo

http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp


COMO ACTUAR EN CASO DE REINICIO CONTINUO DEL ORDENADOR

hay varias formas de hacerlo, eliminacion manual

-Eliminación manual del virus

Antes de nada, es necesario deshabilitar la conexión a Internet. Esta conexión no se podrá habilitar de nuevo hasta que el virus haya sido eleiminado y el sistema protegido contra nuevas posibles infecciones del propio virus


-Terminar el proceso asociado al gusano

Abrir el administrador de tareas de windows (CTRL+MAY+ESC) y seleccionar las pestaña "Procesos"
En la lista que aparece, seleccionar el proceso MSBLAST.EXE y pulsar el botón "Terminar proceso"
Comprobar que se ha finalizado ese proceso (cerrando el administrador de tareas, volviéndolo a abrir y comprobar que no aparece en la lista).
Cerrar el administrador de tareas.

-Borrais entradas en el registro

Abrir el editor del registro (pulsar Inicio->Ejecutar, escribir regedit y pulsar la tecla Enter).
En el panel izquierdo, hacer doble click en:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
En el panel derecho, localizar y borrar la entrada ”windows auto update" = MSBLAST.EXE
Cerrar el editor del registro.

-Instrucciones adicionales para usuarios de Windows XP
Para estos usuarios, además de los pasos anteriores, es preciso deshabilitar el "RESTAURAR SISTEMA" de Windows XP.
Para ello:

Entrais como admistrador del sistema
Doble click sobre "Mi PC" (en el escritorio) y pinchar en "Propiedades"
Ir a RESTAURAR SISTEMA
Seleccionar "Deshabilitar RESTAURAR SISTEMA"
Pulsar Aplicar > Sí > Aceptar
Continuar con el proceso de limpieza.

-Escaneado con el antivirus
Indicar al antivirus instalado que haga un escaneado de todo el sistema (asegurarse antes de que el antivirus contiene las últimas actualizaciones). Caso de no tener antivirus, ir al directorio System32 (normalmente C:\Windows\System32 o C:\WINNT\System32) y ahí borrar completamente el fichero MSBLAST.EXE.


-Aplicar parche
Puede instalar el parche automáticamente en el sitio de Windows Update (requiere Internet Explorer) o puede dirigirse al Boletín de Seguridad de Microsoft MS03-26 http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp y ahí descargar el parche e instalarlo en el sistema. Para hacer la descarga del parche habrá que volver a habilitar la conexión a Internet. Recordad que en este momento su ordenador es vulnerable y puede volver a infectarse de nuevo con el virus. Una vez se ha descargado el parche se puede deshabilitar el acceso a Internet y después instalar (ejecutar el parche). Una vez el parche ha sido instalado el sistema ya no es vulnerable a nuevas infecciones de este virus y el acceso a Internet se puede mantener permanentement.



Unas aclaraciones a esta informacion, donde bajar el parche, MUY IMPORTANTE, AQUI

http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp


UNA VEZ ALLI, SELECCIONAIS VUESTRA VERSION DE WINDOWS Y OS BAJAIS EL PARCHE


COMO ACTIVAR EL CORTAFUEGOS DEL XP

VAIS A INICIO>>PANEL DE CONTROL>>CONEXIONES DE RED>>>ALLI PINCHAIS SOBRE LA VUESTRA (SERA RED DE AREA LOCAL, ADSL ETC) DESPUES >>>PROPIEDADES>>>AVANZADAS>>> Y PINCHAIS EN LA CASILLA "PROTEGER MI EQUIPO" ETC ETC, ASI ACTIVAIS EL FIREWALL DEL XP

OS PODEIS BAJAR OTRO FIREWALL GRATUITO DESDE LA SECCION SOFTWARE DE LA WEB , EL ZONE ALARM

http://www.daboweb.com/index.php?option=com_content&task=view&id=109&Itemid=89 alli lo teneis si no quereis el del XP

Manual de zone alarm:

http://www.daboweb.com/index.php?option=com_content&task=view&id=142&Itemid=149



—————————————————————–

Más informacion

En nuestro foro

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.

1 comentario to Desinfección y vacuna virus Blaster

[…] que llevamos un tiempo en Daboweb, recordamos como si fuera ayer infecciones masivas como las del Blaster o Sasser (publicado aquí). Conficker es como un “remake” pero más elaborado y el […]