W32-Blaster y RPC

Desactivar el firewall es suicidarse... si no has instalado el parche que
soluciona la vulnerabilidad RPC. En cualquier caso...

Si te aparece un mensaje como este...

****************************************
"Se esta apagando el sistema. Guarde todo trabajo en curso y cierre la
sesion. Se perdera cualquier cambio que no haya sido guardado. El apagado ha
sido iniciado por NT AUTHORITY\SYSTEM

Tiempo restante de apagado: 00.00.XX

Mensaje: Windows debe reiniciar ahora porque el servicio Llamada a
procedimiento remoto (RPC) termino de forma inesperada.
****************************************

... es que han entrado en tu equipo aprovechando una vulnerabilidad en el
sistema. Esta vulnerabilidad ya estaba corregida por Microsoft mediante un
parche desde el dia 17 de Julio pasado. Con el parche instalado o
simplemente con el firewall de XP activado no deberias haber tenido
problemas. Pero si no ha sido asi, es decir, si no tenías el parche aplicado
y/o el firewall activado y te ha aparecido el mensaje anterior, la SOLUCION
OPTIMA es:

- Desconectar el cable que te da conexión a internet
- Formatear
- Instalar XP
- Nada mas instalar: ACTIVAR EL FIREWALL de XP (propiedades de la conexion a
Internet, pestaña "avanzadas", marcar "proteger mi equipo")
- Conectar el cable que te da conexion a internet
- Aplicar TODOS los parches desde Windows Update
(windowsupdate.microsoft.com), especialmente este parche:
http://download.microsoft.com/downl...86-ESN.exe

¿Formatear o no formatear?
Sí, formatear, por la sencilla razon de que tu maquina ha estado expuesta a
que te introduzcan cualquier virus: los conocidos "msblast", "rpcsdbot.a" y
todas las variaciones aparecidas, pero ¿y los desconocidos? En el grupo
es.comp.hackers, algunos imbeciles se jactan de haber introducido virus
(concretamente troyanos) de su propia cosecha, normalmente indetectables por
los antivirus. Asi, insisto, la solución optima pasa por formatear. Utilizar
unicamente las herramientas de eliminacion de los virus conocidos y
detectables es una irresponsabilidad.

Informacion Adicional

Tutorial Instalación de Windows XP
http://www.marcmcoll.net/Tutorials/...lar_xp.htm

Responsabilidad y educación del Internauta
http://www.vsantivirus.com/lz-domino.htm

Microsoft
http://www.microsoft.com/downloads/...layLang=es
http://www.microsoft.com/spain/tech...032-IT.asp

Antivirus
http://www.vsantivirus.com/lovsan-a.htm
http://www.vsantivirus.com/lovsan-b.htm
http://www.vsantivirus.com/lovsan-c.htm
http://www.vsantivirus.com/lovsan-d.htm
http://www.vsantivirus.com/nachi-a.htm
http://www.vsantivirus.com/randex-e.htm
http://www.vsantivirus.com/randex-f.htm
http://www.vsantivirus.com/fresh20-a.htm
http://www.alerta-antivirus.com/vir...s.html?cod(80
http://www.alerta-antivirus.com/vir...s.html?cod(84&PHPSESSID=fd3d1a06bf9807d5ad252f932ae353ee
http://www.alerta-antivirus.com/vir...s.html?cod(86
http://www.alerta-antivirus.com/vir...s.html?cod(89&PHPSESSID=6cad23c6f4ddee23057364bd0542f74d
http://www.alerta-antivirus.com/vir...s.html?cod(87&PHPSESSID=6cad23c6f4ddee23057364bd0542f74d
http://www.alerta-antivirus.com/vir...s.html?cod)06&PHPSESSID=6a3bbe6244cbe7cb1b70f8b435e83332
http://www.trendmicro.com/vinfo/vir..._MSBLAST.A
http://es.trendmicro-europe.com/ent..._MSBLAST.B
http://es.trendmicro-europe.com/ent..._MSBLAST.C
http://www.trendmicro.com/vinfo/vir..._MSBLAST.D
http://es.trendmicro-europe.com/ent..._MSBLAST.E
http://www.trendmicro.com/vinfo/vir...RPCSDBOT.A
http://www.pandasoftware.es/virus_i...t=det&
http://vil.mcafee.com/dispVirus.asp?virus_k0547
http://www.symantec.com/avcenter/ve....worm.html
http://www.perantivirus.com/sosviru...sblast.htm
http://www.enciclopediavirus.com/vi...s.php?idI7
http://www.sophos.com/virusinfo/ana...stera.html
http://www3.ca.com/solutions/collateral.asp?CT'081&CIDH952

JM Tella Llop el pasado dia 6 de Agosto
Aviso previo al caos:
http://groups.google.com/groups?hl=....gbl#link1
Artículo sobre el exploit:
http://worldseth.sytes.net:8000/articulos/archivos/jose_manuel_tella/vulnerabilidad_explotacion_rpc.pdf

C&P Post Virus RPC v2.15

Saludos,

Manuel F.


"Hernan Batista" escribió en el mensaje
news:

creo q tuve el famoso virus blaster, a la final use el chequeo en linea de
Panda y me dijo que no lo tenia pero. ahora cada vez que desactivo el
firewall me da el mismo error de RPC y el pc se apaga a los pocos
segundos

como puedo saber si aun tengo rastros del blaster?

Hernan Batista

http://hernan.itgo.com

Saber si tienes rastros no es suficiente. Leete estos documentos :

http://www.multingles.net/docs/razones.htm

http://www.multingles.net/docs/rpc.htm




"Hernan Batista" escribió en el mensaje
news:

creo q tuve el famoso virus blaster, a la final use el chequeo en linea de
Panda y me dijo que no lo tenia pero. ahora cada vez que desactivo el
firewall me da el mismo error de RPC y el pc se apaga a los pocos
segundos

como puedo saber si aun tengo rastros del blaster?

Hernan Batista

http://hernan.itgo.com

Lo siento, si has tenido Blaster solo cabe FORMATEAR leete mis articulos, e incluso este articulo de VsAntivirus:

http://www.vsantivirus.com/faq-lovsan.htm#11

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Hernan Batista" wrote in message news:

creo q tuve el famoso virus blaster, a la final use el chequeo en linea de
Panda y me dijo que no lo tenia pero. ahora cada vez que desactivo el
firewall me da el mismo error de RPC y el pc se apaga a los pocos
segundos

como puedo saber si aun tengo rastros del blaster?

Hernan Batista

http://hernan.itgo.com