Permitida la reproducción total o parcial de esta bitácora, o almenos de todo material creado por mi.
La información quiere ser libre.
Inicio > Historias > [Importante] Nuevo gusano en Internet

[Importante] Nuevo gusano en Internet

Archivado en []

Debido a la magnitud del problema con el gusano msblast voy a explicaros un poco en que consiste, porqué estais infectados y que debeis hacer (tanto si estais infectados como si no).
El msblast (w32.blaster.worm) es un gusano (un virus que se propaga él solito por internet) que aprovecha una vulnerabilidad de varios sistemas Windows (NT4, 2000, XP, Server 2003) para infectar sistemas y autopropagarse. Una vez estás infectado intenta un ataque DoS sobre windowsupdate.com para que no puedas actualizar tu sistema con el parche correspondiente a la vulnerabilidad aprovechada.

Esta vulnerabilidad fue reconocida por Microsoft el 16 de Julio y hay varios parches. Los que os pueden interesar seguramente sean estos dos:

· Parche para XP.
· Parche para Windows 2000 (requiere ServicePack 3 ó 4).

Si no estabais infectados (un síntoma de la infección es el reinicio cada 5 minutos de la máquina) esto evitará que os infecteis, aunque se rumorea que el parche para Windows 2000 no arregla del todo la vulnerabilidad.

Si estabais infectados esto evitará que os volvais a infectar una vez hayais limpiado vuestra máquina. Para limpiarla podeis usar este programa de Symantec. Aunque si os gusta hacerlo a mano básicamente se trata de buscar las entradas del registro que hagan referencia a msblast y borrarlas. Después reiniciamos y borramos el ejecutable. Si hemos aplicado el parche de Microsoft ya podemos estar seguros de que msblast no nos hará daño de nuevo.

¡Ojo! Los antivirus que no estén actualizados a 11 de Agosto no lo detectarán.

¡Ojo! Es imperativa la aplicación del parche esteis o no infectados. Se prevee la aparición de otros gusanos que podrían ser más destructivos que msblast que, de hecho, no tiene ningún payload destructivo conocido.

P.D.: Podría aprovechar para hacer apología de otros sistemas operativos :) pero en este caso gran parte de la culpa es del usuario que no actualiza el sistema. A partir de ahora espero que cojan la costumbre de actualizar sus sistemas (windowsupdate.com si son ustedes usuarios de Windows).

2003-08-12 23:08 | pj | Comenta el artículo (11) | [x]

Referencias (TrackBacks)

URL de trackback de esta historia http://confrontacion.blogalia.com//trackbacks/10542

Comentarios

1
De: canopus Fecha: 2003-08-12 17:08

Bueno, en este caso creo que también tiene mucha culpa la propia Microsoft.
En el Windows update NO aparece este parche como crítico, y hay que buscarlo para instalarlo.
Además, todavía estoy esperando el aviso de las listas de seguridad a las que estoy suscrito...
En estos casos creo que lo mejor es tener instalado (y saber manejarlo) un buen Firewall.
Yo personalmente recomiendo el Agnitum Outpost.



2
De: advocatux Fecha: 2003-08-12 17:35

A mí el primer y único aviso de este asunto me llegó vía Hispasec esta madrugada (ahora son las 10:32 a.m.). Ni siquiera me ha llegado el correo de securityfocus, aunque en su página si hablan del asunto.

Por cierto, que parece que los gashondos de los autores han incluido este mensaje en el código del gusano: "billy gates why do you make this possible ? Stop making money and fix your software!!"

Bueno, ya se sabe que MS hace que todo (especialmente lo malo) sea *muy* fácil ;)



3
De: pj Fecha: 2003-08-12 17:36

Vaya, pues ahí queda eso xD

También recomiendan, precisamente, usar un firewall en este caso concreto para bloquear el acceso externo a los pueros 135, 137 y 4444 (puerto que utiliza el gusano para descargarse a sí mismo mediante tftp).



4
De: pj Fecha: 2003-08-12 17:46

El Newsletter NNL de Cyrano (un chico argentino) es el que me llega a mi y donde ya apareció hace tiempo comentado el tema y la posibilidad de un futuro gusano.

Podeis verlo aquí, con fecha de 30 de Julio y con un artículo titulado [/Mini análisis de xploits privados: dcom_universal.c, alma del próximo Dcom Worm.
/].



5
De: Epaminondas Pantulis Fecha: 2003-08-12 17:47

Cada vez más el usuario de escritorio se tiene que ir convirtiendo en experto en seguridad informática...

El problema tiene otra vertiente; es de suponer que muchos usuarios sean reacios a actualizar periódicamente sus sistemas (bien por temor a la propia actualización, que no siempre sale bien, o a que su sistema operativo sea pirata), de forma que cabe suponer que este gusano se va a propagar bastante bien. El resultado final será que las redes se verán *saturadas* de peticiones al puerto 135...



6
De: advocatux Fecha: 2003-08-12 19:31

Ya informan de esto en Alerta-Antivirus (depende de Red.es) y lo califican de "peligrosidad: alta".

Desde luego, como dice Epaminondas Pantulis, los usuarios deberían concienciarse con la necesidad de tener controlado su sistema.

Lamentablemente, en muchas ocasiones, ni siquiera los presuntos profesionales están a la altura de las circunstancias. Por no hablar de que no sé como no se le cae la cara de la vergüenza, a la gente de MS, por comercializar el software que comercializan.

Me imagino que, con la pasta que ganan, tienen suficiente para afrontar el gasto en psicólogos que este "trauma" les puede acarrear :P



7
De: pj Fecha: 2003-08-12 19:37

Según dicen por ahí el hecho de que Windows falle más que una escopeta de feria (mejor no entro a valorar si lo hace o no) es pura estrategia de mercado. ¡Que cosas!



8
De: Akin Fecha: 2003-08-13 02:19

Bueno, ya no podré decir que siendo inteligente con lo que se hace por ahí ya no se pillan virus. Este gusano se me había colado (a veces desactivo el firewall, sobre todo cuando juego para que no tire de recursos).

Lo he borrado a mano, proceso archivo y registo. Ahora le estoy pasando el antigusano de symantec y bajando la actualización.

En fin... cosas de windows.



9
De: Oze (El Erizo Azul) Fecha: 2003-08-13 07:05

¿Puede infectar también los PC´s con Windows 98?



10
De: pj Fecha: 2003-08-13 07:09

No (según las mismas fuentes que cito en la historia). La lista de sistemas afectados es:

Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows NT 4.0 Server
Microsoft Windows NT 4.0 Server, Terminal Server Edition
Microsoft Windows NT 4.0 Workstation
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional



11
De: MSBlast Fecha: 2003-08-15 02:47

La página Alerta-Antivirus ya está operativa y tiene un document bastante completo sobre el tema que nos ocupa en:

http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2880

Un saludo




Cosas viejas
<Diciembre 2024
Lu Ma Mi Ju Vi Sa Do
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

Documentos
  • Mis articulos (varios)
  • Mi C.V.
  • Mis tutoriales

  • Categorías
  • Bricomanía
  • Confróntate
  • Curiosidades
  • FUD
  • m4tr1x
  • pj

  • El Tiempo en Barcelona
    The WeatherPixie

    Blogalia

    Blogalia




    pj