Alerta de seguridad - Nuevo gusano: W32.Blaster

12/08/2003 - 13:48 por Carmen López [MS] | Informe spam

Alerta de seguridad - Nuevo gusano: W32.Blaster

SEVERIDAD: CRITICA

FECHA: 11 de Agosto 11 de 2003

PRODUCTOS AFECTADOS: Windows XP, Windows 2000, Windows Server 2003,
Windows NT 4.0, NT 4.0 Terminal Services Edition

**********************************************************************

EN QUE CONSISTE:

El equipo de seguridad de los Servicios de Soporte Técnico de
Microsoft informan sobre la alerta del virus gusano W32.Blaster. que se está
propagando masivamente. Este virus también conocido como : W32/Lovsan.worm
(McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer
Associates). La mejor manera de prevenir la infección de este virus es
instalando el parche de seguridad MS03-026.

Aquellos clientes que tuvieran ya instalado el parche de seguridad
están protegidos de la infección.

IMPACTO DEL ATAQUE:

Propagación a través de los puertos RPC abiertos. El equipo del
cliente se reinicia o el archivo "msblast.exe" permanece en el sistema del
equipo del cliente.

DETALLES TECNICOS:

Este gusano escanea un rango de direcciones IP para buscar sistemas
vulnerables con el puerto 135 TCP. El gusano intenta aprovecharse de la
vulnerabilidad del boletín de seguridad MS03-026.

Una vez que el equipo es infectado, descarga y ejecuta el archivo
MSBLAST.EXE desde un sistema remoto via TFTP. Una vez ejecutado el gusano
crea la clave de registro :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows
auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Síntomas del virus: Algunos clientes pueden no sufrir ningún síntoma.
El síntoma típico es el reinicio del sistema cada poco minutos sin la
intervención del usuario. También algunos cliente podrían ver:

- La presencia de archivos TFTP* no usuales
- La presencia del archivo msblast.exe el directorio WINDOWS SYSTEM32

Para detectar el virus, busque el archivo msblast.exe en el directorio
WINDOWS SYSTEM32 o descargue la última actualización software de su programa
antivirus y escanee su equipo.

Para más información acerca de este virus desde los fabricantes de
software antivirus que participan en el Microsoft Virus Information
Alliance (VIA) visite los siguientes enlaces:

Network Associates:

http://us.mcafee.com/virusInfo/defa...mp;virus_k0547

Trend Micro:

http://www.trendmicro.com/vinfo/vir..._MSBLAST.A

Symantec:

http://securityresponse.symantec.co....worm.html

Computer Associates:
http://www3.ca.com/virusinfo/virus.aspx?ID6265

Trend Micro

Panda Software

McAfee

Symantec

PerAntivirus

VS Antivirus

Enciclopedia Virus (Ontinent)

Sophos

Computer Associates

Para más información sobre Microsoft's Virus Information Alliance :
http://www.microsoft.com/technet/se...us/via.asp

Por favor contacte con su fabricante de antivirus para más
información sobre este virus.

PREVENCION:

Habilitar el Servidor de seguridad de conexión a Internet (en Windows
XP o Windows Server 2003) o use un Servidor de seguridad de terceros para
bloquear los puertos TCP 135, 139, 445 y 593; UDP 69 (TFTP ) y TCP 4444.
Para habilitar el Servidor de seguridad de conexión a internet en Windows
visite : http://support.microsoft.com/?id(3673

a.. En el Panel de control, doble clic en Mis sitios de Red, y haga
clic en Conexiones de red
b.. Botón derecho en la conexión en la que desea habilitar el
Servidor de Seguridad , y después haga clic en Propiedades.
c.. En la pestaña avanzadas, haga clic en el cuadro para seleccionar
la opción Proteger mi equipo o mi red limitando o impidiendo el acceso a él
desde internet.
Este gusano utiliza un vulnerabilidad ya anunciada como método de
infección. Por ello, los clientes deben asegurarse de que sus equipos tienen
instalado el parche de seguridad MS03-026.
http://www.microsoft.com/spain/tech...26-IT.asp.
Instale el parche de seguridad MS03-026 desde Windows Update
http://windowsupdate.microsoft.com.

Como siempre, compruebe que dispone de las última versión de su
fabricante de antivirus, para detectar los últimos virus y sus variantes .

SOLUCION

a.. PASO 1.- Termine el proceso MSBLAST.EXE

1.. Abra el Administrador de tareas de Windows (CTRL+ALT+SUPR o
CTRL+SHIFT+ESC ) y seleccione las pestaña "Procesos"
2.. Seleccionar el proceso MSBLAST.EXE de la lista y haga clic en
el botón "Terminar proceso"
3.. Cierre y vuelve abrir el Administrador de tareas para
comprobar que se ha finalizado el proceso (si no aparece en la lista se ha
finalizado el proceso).
4.. Cierre el Administrador de tareas.

a.. PASO 2.- Borre las entradas del registro

1.. Haga clic en Inicio, a continuación haga clic en Ejecutar,
escriba regedit y a continuación presione la tecla Entrar.
2.. Haga clic en
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3.. Elimine la entrada de registro "windows auto update" MSBLAST.EXE
4.. Cierre el editor del registro.

a.. NOTA: Sistemas con Windows XP
En Windows XP, además de los pasos anteriores, será preciso
deshabilitar "Restaurar sistema" de Windows XP. Para ello siga estos pasos:

1.. Vaya a Inicio y haga clic el botón derecho sobre el icono Mi
PC, haga clic en Propiedades
2.. Vaya a la ficha Restaurar sistema
3.. Seleccionar "Desactivar restaurar sistema en todas la unidades
4.. Haga clic en Aplicar, haga clic en Sí y finalmente en Aceptar

a.. PASO 3.- Escaneado con el antivirus
Como siempre, compruebe que dispone de las última versión de su
fabricante de antivirus, para detectar los últimos virus y sus variantes.
Abra su programa de antivirus y realice un escaneado de todo el sistema. Si
no dispone de antivirus, vaya al directorio \Windows\System32 o
\WINNT\System32 y elimine el archivo MSBLAST.EXE.

a.. PASO 4.- Instalar el parche de seguridad
Ir al sitio web del Boletín de Microsoft MS03-26 y desde allí
descargue el parche e instalelo en el sistema

RECUPERACIÓN:

Consulte el siguiente documento en inglés: Pasos para la recuperación
desde un sitema UNIX o NET (Steps for Recovering from a UNIX or NT System
Compromise). http://www.cert.org/tech_tips/win-U...omise.html

Por favor contacte con su fabricante de antivirus para más
información sobre la recuperación ante el ataque de este virus.

ARTICULOS KB RELACIONADOS :http://support.microsoft.com/?kbid6955

BOLETINES DE SEGURIDAD RELACIONADOS:

http://www.microsoft.com/spain/tech...026-IT.asp

ENLACES RELACIONADOS: (En inglés)
http://www.microsoft.com/security/i.../blast.asp

Para más información sobre puede contactar con el departamento de
Atención al Cliente de Microsoft al 902 197 198 ó 91 353 69 60 si llama
desde Madrid capital

Saludos:
Carmen López [MS]
Microsoft España

Visite nuestra página de soporte:
http://support.microsoft.com/?ln=es-es
Reglas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas

Siga el debate

5 respuestas

Tengo una respuesta

DRAGON AGE™: INQUISITION – Matadragones

Leer las respuestas

#1 Raquel Delgado [MS]

12/08/2003 - 17:52 | Informe spam

La información actualizada, la podeis encontrar en el siguiente enlace:
http://support.microsoft.com/defaul...laster.asp

Saludos
Raquel Delgado [MS]
Microsoft España.
"Carmen López [MS]" escribió en el mensaje news:

Alerta de seguridad - Nuevo gusano: W32.Blaster

SEVERIDAD: CRITICA

FECHA: 11 de Agosto 11 de 2003

PRODUCTOS AFECTADOS: Windows XP, Windows 2000, Windows Server 2003,
Windows NT 4.0, NT 4.0 Terminal Services Edition

**********************************************************************

EN QUE CONSISTE:

El equipo de seguridad de los Servicios de Soporte Técnico de
Microsoft informan sobre la alerta del virus gusano W32.Blaster. que se está
propagando masivamente. Este virus también conocido como : W32/Lovsan.worm
(McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer
Associates). La mejor manera de prevenir la infección de este virus es
instalando el parche de seguridad MS03-026.

Aquellos clientes que tuvieran ya instalado el parche de seguridad
están protegidos de la infección.

IMPACTO DEL ATAQUE:

Propagación a través de los puertos RPC abiertos. El equipo del
cliente se reinicia o el archivo "msblast.exe" permanece en el sistema del
equipo del cliente.

DETALLES TECNICOS:

Este gusano escanea un rango de direcciones IP para buscar sistemas
vulnerables con el puerto 135 TCP. El gusano intenta aprovecharse de la
vulnerabilidad del boletín de seguridad MS03-026.

Una vez que el equipo es infectado, descarga y ejecuta el archivo
MSBLAST.EXE desde un sistema remoto via TFTP. Una vez ejecutado el gusano
crea la clave de registro :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows
auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Síntomas del virus: Algunos clientes pueden no sufrir ningún síntoma.
El síntoma típico es el reinicio del sistema cada poco minutos sin la
intervención del usuario. También algunos cliente podrían ver:

- La presencia de archivos TFTP* no usuales
- La presencia del archivo msblast.exe el directorio WINDOWS SYSTEM32

Para detectar el virus, busque el archivo msblast.exe en el directorio
WINDOWS SYSTEM32 o descargue la última actualización software de su programa
antivirus y escanee su equipo.

Para más información acerca de este virus desde los fabricantes de
software antivirus que participan en el Microsoft Virus Information
Alliance (VIA) visite los siguientes enlaces:

Network Associates:

http://us.mcafee.com/virusInfo/defa...mp;virus_k0547

Trend Micro:

http://www.trendmicro.com/vinfo/vir..._MSBLAST.A

Symantec:

http://securityresponse.symantec.co....worm.html

Computer Associates:
http://www3.ca.com/virusinfo/virus.aspx?ID6265

Trend Micro

Panda Software

McAfee

Symantec

PerAntivirus

VS Antivirus

Enciclopedia Virus (Ontinent)

Sophos

Computer Associates

Para más información sobre Microsoft's Virus Information Alliance :
http://www.microsoft.com/technet/se...us/via.asp

Por favor contacte con su fabricante de antivirus para más
información sobre este virus.

PREVENCION:

Habilitar el Servidor de seguridad de conexión a Internet (en Windows
XP o Windows Server 2003) o use un Servidor de seguridad de terceros para
bloquear los puertos TCP 135, 139, 445 y 593; UDP 69 (TFTP ) y TCP 4444.
Para habilitar el Servidor de seguridad de conexión a internet en Windows
visite : http://support.microsoft.com/?id(3673

a.. En el Panel de control, doble clic en Mis sitios de Red, y haga
clic en Conexiones de red
b.. Botón derecho en la conexión en la que desea habilitar el
Servidor de Seguridad , y después haga clic en Propiedades.
c.. En la pestaña avanzadas, haga clic en el cuadro para seleccionar
la opción Proteger mi equipo o mi red limitando o impidiendo el acceso a él
desde internet.
Este gusano utiliza un vulnerabilidad ya anunciada como método de
infección. Por ello, los clientes deben asegurarse de que sus equipos tienen
instalado el parche de seguridad MS03-026.
http://www.microsoft.com/spain/tech...26-IT.asp.
Instale el parche de seguridad MS03-026 desde Windows Update
http://windowsupdate.microsoft.com.

Como siempre, compruebe que dispone de las última versión de su
fabricante de antivirus, para detectar los últimos virus y sus variantes .

SOLUCION

a.. PASO 1.- Termine el proceso MSBLAST.EXE

1.. Abra el Administrador de tareas de Windows (CTRL+ALT+SUPR o
CTRL+SHIFT+ESC ) y seleccione las pestaña "Procesos"
2.. Seleccionar el proceso MSBLAST.EXE de la lista y haga clic en
el botón "Terminar proceso"
3.. Cierre y vuelve abrir el Administrador de tareas para
comprobar que se ha finalizado el proceso (si no aparece en la lista se ha
finalizado el proceso).
4.. Cierre el Administrador de tareas.

a.. PASO 2.- Borre las entradas del registro

1.. Haga clic en Inicio, a continuación haga clic en Ejecutar,
escriba regedit y a continuación presione la tecla Entrar.
2.. Haga clic en
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3.. Elimine la entrada de registro "windows auto update" > MSBLAST.EXE
4.. Cierre el editor del registro.

a.. NOTA: Sistemas con Windows XP
En Windows XP, además de los pasos anteriores, será preciso
deshabilitar "Restaurar sistema" de Windows XP. Para ello siga estos pasos:

1.. Vaya a Inicio y haga clic el botón derecho sobre el icono Mi
PC, haga clic en Propiedades
2.. Vaya a la ficha Restaurar sistema
3.. Seleccionar "Desactivar restaurar sistema en todas la unidades
4.. Haga clic en Aplicar, haga clic en Sí y finalmente en Aceptar

a.. PASO 3.- Escaneado con el antivirus
Como siempre, compruebe que dispone de las última versión de su
fabricante de antivirus, para detectar los últimos virus y sus variantes.
Abra su programa de antivirus y realice un escaneado de todo el sistema. Si
no dispone de antivirus, vaya al directorio \Windows\System32 o
\WINNT\System32 y elimine el archivo MSBLAST.EXE.

a.. PASO 4.- Instalar el parche de seguridad
Ir al sitio web del Boletín de Microsoft MS03-26 y desde allí
descargue el parche e instalelo en el sistema

RECUPERACIÓN:

Consulte el siguiente documento en inglés: Pasos para la recuperación
desde un sitema UNIX o NET (Steps for Recovering from a UNIX or NT System
Compromise). http://www.cert.org/tech_tips/win-U...omise.html

Por favor contacte con su fabricante de antivirus para más
información sobre la recuperación ante el ataque de este virus.

ARTICULOS KB RELACIONADOS :http://support.microsoft.com/?kbid6955

BOLETINES DE SEGURIDAD RELACIONADOS:

http://www.microsoft.com/spain/tech...026-IT.asp

ENLACES RELACIONADOS: (En inglés)
http://www.microsoft.com/security/i.../blast.asp

Para más información sobre puede contactar con el departamento de
Atención al Cliente de Microsoft al 902 197 198 ó 91 353 69 60 si llama
desde Madrid capital

Saludos:
Carmen López [MS]
Microsoft España

Visite nuestra página de soporte:
http://support.microsoft.com/?ln=es-es
Reglas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas

Leer las otras respuestas

Preguntas similares

Busqueda sugerida :