| |
Boletín Paralax 57
Miércoles, 13 de Agosto de 2003 |
E D I T O R I A L |
Volvemos de nuevo con nuestro boletín antivirus.
Resumen:
Msblast es un nuevo gusano que escanea las computadoras conectadas a Internet, y gracias a una falla de seguridad en Windows 2000 y en Windows XP, es capas de introducirse directamente en las maquina, no llega a través de Email. Cualquier sistema de WindowsXP y windows 2000 que no tenga los parche se seguridad del ultimo mes esta expuesto.
Las computadoras con windows 98 y 95 no estan expuestas.
Varias compañías antivirus lo han categorizado como amenaza nivel 4. El virus se ha esparcido lentamente, gracias a que no esta muy bien escrito, pero es posible que el autor lo actualice con lo que el gusano se esparciría mas rápido.
Es muy importante que se apliquen los parches se seguridad del ultimo mes. Lo usuarios de windows 2000, necesita ademas tener un service pack del 2 en adelante.
Por otra parte, el gusano tiene programado un ataque al sitio de microsoft de Windows Update, para este sabado, es dificil saber si tendra exito, pero aun asi, recomiendo aplicar los parches antes del sabado.
Al mismo tiempo hay que actualizar los antivirus, y los administradores de redes deben modificar sus firewall para detenerlo.
Sintomas:
1) la computadora se vuelve mas lenta.
2) Se reinica sola con regularidad.
3) Aparecen pantallas azules
Protección:
1) actualice inmediatamente su antivirus.
2) Ir a la pagina de http://windowsupdate.microsoft.com/ y bajar todas las actualizaciones criticas de Windows, para parchar la vulnerabilidad.
3) A los administradores de redes se les recomienda bloquear los puertos TCP 444, y si no se usan TCP 135, DCOM RPC y UDP 69 TFTP.
Detalles:
Nombres: W32/Lovsan.worm [McAfee],
Win32.Poza [CA],
Lovsan [F-Secure],
WORM_MSBLAST.A [Trend],
W32/Blaster-A [Sophos],
W32/Blaster [Panda]
Tipo: Gusano
Sistemas afectados: Windows 2000, Windows XP
Sistemas NO afectados: Linux, Macintosh, OS/2, UNIX,
Windows 95, Windows 98, Windows Me, Windows NT
Una vez que a infectado una computadora, el gusano comienza a revisar la red en busca de computadoras conectadas, escanea el puerto TCP 135, gracias al la vulnerabilidad conocida del DCOM RPC, intenta bajar el archivo msblast.exe en el directorio de windows %WinDir%\system32 donde intentara ejecutarlo.
Añade la clave
"windows auto update"="msblast.exe"
al registro de windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
Con el fin de que se ejecute automaticamente cuando inicia windows.
Utiliza CMD.exe para crear un proceso remoto que escucha el puerto TCP 4444, con lo que se puede ejecutar ordens remotas y la computadora queda expuesta.
Además el gusano intentara realizar un ataque DOS a la pagina de Windows Update para evitar que la gente aplique los parches se seguridad.
Si no funciona la pagina de Windows Update, se pueden bajar los parches directamente en:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Selecciones el idioma y el sistema operativo a adecuado a su sistema.
En windows 2000 debe tener un service pack 2 o mas reciente, de lo contrario
necesitara instalarlos primero..
Eliminacion:
Las compañias antivirus tiene programas para bajar de la red, que permiten eliminar la gusano:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
Lea los instructivo antes de usarlos.
Atte.
Javier Delgado
| por Javier Delgado, Paralax Multimedia |