SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
OJO ALERTA VIRICA, GRAVE VIRUS EN WINDOWS, VIRUS BLASTER
Dabo:
DEBAJO COMO EVITAR EL REINICIO, INFO ACTUALIZADA 14-8-03 A LAS 10,30 H
vacuna en www.daboweb.com/sitemap.htm donde pone "virus blaster , vacuna"
El virus blaster de está propagando masivamente, aprovecha una vulnerabilidad conocida en Windows través de la cual un atacante puede lograr la ejecución de código.
Remote Procedure Call (RPC) es un protocolo empleado por los sistemas operativos Windows para proporcionar mecanismos de comunicación entre procesos de forma que un programa que se ejecute en un sistema pueda ejecutar código en un sistema remoto de forma transparente. La implementación de Microsoft de este protocolo está derivada del protocolo RPC de la OSF (Open Software Foundation) pero con la inclusión de algunas extensiones específicas de Microsoft.
El protocolo RPC se utiliza para que un programa pueda ejecutar código en un ordenador remoto. Por ejemplo, se utiliza el protocolo RPC para la compartición de las impresoras de una red. En el caso de Windows, el servicio RPC está asociado al puerto 135/tcp."
Alias
Nombre: W32/Lovsan.A (MSBlast)
Tipo: Gusano de Internet, caballo de Troya
Alias: W32/Lovsan.worm, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm, Win32.Poza, WORM_MSBLAST.A, W32/Blaster-A, Win32/Lovsan.A, Poza, Win32.Poza, Blaster
Ataca a sistemas
Windows 2000
Windows XP (home y profesional)
Windows NT
Windows 2003 server
Efectos sobre la máquina afectada (los más destacados)
Provoca ataques DOS (denegación de servicio) al sitio Windows Update y al PC afectado
Fuerza un reinicio continuo de la máquina afectada haciendo muy difícil su reparación
Provoca un aumento del tráfico en los puertos de red por los puertos TCP 135 y 4444, y UDP 69. Haciendo la navegación casi imposible
Para parchear el sistema afectado y más info de Microsoft (fundamental además de haber bajado la vacuna)
en la mitad de la pagina vereis algo asi
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition (en inglés)
Windows Server 2003 32 bit Edition
Windows Server 2003 64 bit Edition (en inglés)
pinchar en el vuestro aqui debajo
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp
COMO ACTUAR EN CASO DE REINCIO DEL ORDENADOR CONTINUO
hay varias formas de hacerlo, eliminacion manual
Eliminación manual del virus
Antes de nada, es necesario deshabilitar la conexión a Internet. Esta conexión no se podrá habilitar de nuevo hasta que el virus haya sido eleiminado y el sistema protegido contra nuevas posibles infecciones del propio virus
Terminar el proceso asociado al gusano
Abrir el administrador de tareas de windows (CTRL+MAY+ESC) y seleccionar las pestaña "Procesos"
En la lista que aparece, seleccionar el proceso MSBLAST.EXE y pulsar el botón "Terminar proceso"
Comprobar que se ha finalizado ese proceso (cerrando el administrador de tareas, volviéndolo a abrir y comprobar que no aparece en la lista).
Cerrar el administrador de tareas.
Borrais entradas en el registro
Abrir el editor del registro (pulsar Inicio->Ejecutar, escribir regedit y pulsar la tecla Enter).
En el panel izquierdo, hacer doble click en:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
En el panel derecho, localizar y borrar la entrada ”windows auto update" = MSBLAST.EXE
Cerrar el editor del registro.
Instrucciones adicionales para usuarios de Windows XP
Para estos usuarios, además de los pasos anteriores, es preciso deshabilitar el "RESTAURAR SISTEMA" de Windows XP. Para ello:
Entrais como admistrador del sistema
Doble click sobre "Mi PC" (en el escritorio) y pinchar en "Propiedades"
Ir a RESTAURAR SISTEMA
Seleccionar "Deshabilitar RESTAURAR SISTEMA"
Pulsar Aplicar > Sí > Aceptar
Continuar con el proceso de limpieza.
Escaneado con el antivirus
Indicar al antivirus instalado que haga un escaneado de todo el sistema (asegurarse antes de que el antivirus contiene las últimas actualizaciones). Caso de no tener antivirus, ir al directorio System32 (normalmente C:\Windows\System32 o C:\WINNT\System32) y ahí borrar completamente el fichero MSBLAST.EXE.
Aplicar parche
Puede instalar el parche automáticamente en el sitio de Windows Update (requiere Internet Explorer) o puede dirigirse al Boletín de Seguridad de Microsoft MS03-26 http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp y ahí descargar el parche e instalarlo en el sistema. Para hacer la descarga del parche habrá que volver a habilitar la conexión a Internet. Recordad que en este momento su ordenador es vulnerable y puede volver a infectarse de nuevo con el virus. Una vez se ha descargado el parche se puede deshabilitar el acceso a Internet y después instalar (ejecutar el parche). Una vez el parche ha sido instalado el sistema ya no es vulnerable a nuevas infecciones de este virus y el acceso a Internet se puede mantener permanentement.
unas aclaraciones a esta informacion, donde bajar el parche, MUY IMPORTANTE, AQUI >>> http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp UNA VEZ ALLI SELECCIONAIS VUESTRA VERSION DE WINDOWS Y OS BAJAIS EL PARCHE
COMO ACTIVAR EL CORTAFUEGOS DEL XP
VAIS A INICIO>>PANEL DE CONTROL>>CONEXIONES DE RED>>>ALLI PINCHAIS SOBRE LA VUESTRA (SERA RED DE AREA LOCAL, ADSL ETC) DESPUES >>>PROPIEDADES>>>AVANZADAS>>> Y PINCHAIS EN LA CASILLA "PROTEGER MI EQUIPO" ETC ETC, ASI ACTIVAIS EL FIREWALL DEL XP
ES PROBABLE QUE AL ACTIVAR EL FIREWALL ALGUNA FUNCION COMO POR EJEMPLO LA DE ENVIAR ARCHIVOS A TRAVES DE MESSENGER QUEDE BLOQUEADA, ES MEJOR QUE ESTAR INFECTADO NO??
OS PODEIS BAJAR OTRO FIREWALL GRATUITO DESDE LA SECCION SOFTWARE DE LA WEB , EL ZONE ALARM
www.daboweb.com/software.htm alli lo teneis si no quereis el del XP
-------------------------------------------------------------------------------------
Para saber más
http://www.vsantivirus.com/lovsan-a.htm
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=det&idvirus=40369
http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-008.html
MClaud:
- Panda Software alerta sobre la aparición del nuevo gusano Blaster -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Madrid, 12 de agosto, 2003 - El Laboratorio de Virus de Panda Software ha
detectado la aparición del nuevo gusano Blaster (W32/Blaster), que ha sido
diseñado para aprovechar una vulnerabilidad recientemente descubierta en
algunas versiones del sistema operativo Windows.
Blaster no se propaga a través de los medios habituales, sino que circula
por Internet en busca de máquinas sobre las que poder realizar su ataque.
Cuando las encuentra, intenta entrar en el sistema a través del puerto de
comunicaciones 135 con el objetivo de provocar un desbordamiento de buffer.
Así, uno de los síntomas más significativos que pueden indicar una infección
por parte de este código malicioso es un notable aumento de la actividad en
dicho puerto.
Una vez instalado en el equipo, Blaster realiza un examen de las direcciones
IP de la red, con el objetivo de encontrar más ordenadores vulnerables a los
que afectar.
Además, crea en el sistema un fichero denominado msblast.exe, el cual
contiene el código del gusano. Al mismo tiempo, genera una clave en el
registro de Windows con el fin de asegurar su ejecución cada vez que se
reinicie el sistema operativo.
Sin embargo, el principal objetivo de Blaster es infectar el mayor número de
máquinas posible con el fin de realizar un ataque de denegación de servicio
sobre el sitio web windowsupdate.com. El mismo, ha sido programado para
llevarse a cabo el próximo 15 de agosto.
La mencionada vulnerabilidad de Windows, denominada RPC DCOM, consiste en un
desbordamiento de buffer en la interfaz RPC, y ha sido calificada como
"crítica" por la propia compañía Microsoft. Afecta a las versiones NT 4.0,
2000, XP y Windows Server 2003. En líneas generales, se trata de un problema
de seguridad que permitiría hacerse con el control de los equipos de forma
remota. Por ello, y con el fin de evitar posibles ataques, Panda Software
aconseja tanto a los administradores y responsables de informática como a
los usuarios particulares, la instalación inmediata de los parches
proporcionados por Microsoft para corregir dicha vulnerabilidad. Los mismos
pueden ser descargados desde
http://www.microsoft.com/security/security_bulletins/ms03-026.asp donde,
además, puede encontrarse información detallada sobre este problema.
En cualquier caso, ante las incidencias registradas por la red internacional
de servicio de Soporte Técnico de Panda Software, y en prevención de
posibles encuentros con Blaster, se aconseja actualizar de inmediato las
soluciones antivirus. La multinacional ya ha puesto a disposición de sus
clientes las correspondientes actualizaciones de sus productos para la
detección de Blaster, por lo que, si no tienen su software configurado para
realizarlo de modo automático, pueden proceder a actualizar sus antivirus
desde http://www.pandasoftware.es.
Además, los usuarios que lo deseen pueden analizar "online" sus sistemas con
la solución antivirus gratuita Panda ActiveScan, que se encuentra disponible
en la página web de la compañía, en http://www.pandasoftware.es.
Más información sobre Blaster u otros códigos maliciosos en la Enciclopedia
de Virus de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
Dabo:
perfecto MClaudia, como siempre, gracias por la info extra, ya he puesto una vacuna en la web para el virus
www.daboweb.com/sitemap.htm
a ver si por lo menos nosotros no nos infectamos ya que ese virus puede hacer que lo que falla es la linea telefonica o el cable entre otras cosas :D
MClaud:
Mas informacion sobre el BLASTER y como removerlo
http://www.alerta-antivirus.com/virus/detalle_virus.html?cod=2880&PHPSESSID=77797eaaae89f9c2adc63025c5aec7f0
Dabo:
BlasterPeligrosidad: Muy Alta
Propagación: Epidemia
Daño: Alto
Solución para clientes
>PCs individuales
>Redes pequeñas
>Grandes redes
La Peligrosidad varía según el Daño y la Propagación.
Efectos
Blaster realiza las siguientes acciones:
Realiza ataques de denegación de servicio (DoS) contra el sitio web windowsupdate.com cuando la fecha del sistema se encuentre entre el 16 de agosto y el 31 de diciembre de 2003.
Puede llegar a provocar el bloqueo y reinicio del ordenador atacado, debido a errores de codificación del gusano.
Provoca un aumento del tráfico de red por los puertos TCP 135 y 4444, y UDP 69.
Metodo de Infección
Blaster crea el fichero MSBLAST.EXE en el directorio de sistema de Windows. Este fichero contiene el código del gusano.
Blaster crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
”windows auto update” = “msblast.exe”
De esta manera, consigue ejecutarse cada vez que se inicie Windows.
Blaster realiza el siguiente proceso de infección:
El gusano crea un mutex llamado BILLY para comprobar que se encuentra activo. Blaster verifica que la versión de Winsock del sistema sea 1.00, 1.01 ó 2.02, y que haya una conexión válida a Internet; en caso de que no haya conexión, entra en un bucle que realiza dicha comprobación cada 20 segundos.
Blaster genera direcciones IP aleatorias de forma sucesiva, empezando por la red donde se encuentra el ordenador donde se está ejecutando, y pasando después a la siguiente red de clase B (redes con máscara de subred 255.255.0.0).
Blaster intenta aprovechar en la máquina remota, identificada mediante la anterior dirección IP, la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC.
Si lo consigue, Blaster lanza una sesión remota y obliga al ordenador atacado a realizar una conexión desde el puerto TCP 4444 de la máquina atacada al puerto UDP 69 de la máquina atacante.
Cuando se establece dicha conexión, el ordenador atacado descarga a través de TFTP una copia del gusano. Para ello, el propio gusano incorpora un servidor TFTP.
Una vez finalizada la descarga, procede a la ejecución remota del fichero enviado, lo cual provoca que el gusano pueda también propagarse desde el equipo atacado.
Método de Propagación
Blaster se propaga atacando direcciones IP generadas aleatoriamente. Estas direcciones IP pertenecen tanto a la red en la que se encuentra el ordenador atacado, como a redes de clase B (cuya máscara de subred es 255.255.0.0).
Blaster intenta aprovechar en dichas direcciones IP la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC. En caso de conseguirlo, descarga en el ordenador atacado una copia de sí mismo, para lo cual incorpora su propio servidor TFTP.
Otros Detalles
Para que conozca un poco mejor a Blaster, a continuación le presentamos alguna característica adicional:
Ha sido programado en lenguaje ensamblador.
El fichero que transporta el gusano tiene un tamaño de 6176 Bytes cuando se encuentra comprimido mediante UPX. El fichero descomprimido tiene un tamaño de 11296 Bytes.
Contiene varias cadenas de texto en su interior, aunque no son mostradas en ningún momento:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software
Navegación
[#] Página Siguiente
Ir a la versión completa