| ||||
 | Alerta de Seguridad - Nuevo gusano: W32.Blaster |
Gravedad: Crítica
Fecha: 12-Agosto-2003
Productos afectados: Windows NT 4.0, 2000, XP, Server 2003
 |
Instale el parche de seguridad del boletín MS03-039 y las últimas actualizaciones de Windows y Office. |
DESCRIPCION:
El equipo de seguridad de los Servicios de Soporte Técnico de Microsoft informan sobre la alerta del virus gusano W32.Blaster que se está propagando masivamente. Este virus también es conocido como : W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). La mejor manera de prevenir la infección de este virus es instalando el parche de seguridad MS03-026.
Fecha en la que fue descubierto: 11 de Agosto de 2003. Aquellos clientes que tuvieran ya instalado el parche de seguridad están protegidos de la infección. Para determinar si el virus esta presente en su equipo siga los siguientes detalles técnicos.
IMPACTO DEL ATAQUE:
Propagación a través de los puertos RPC abiertos. El equipo del cliente se reinicia o el archivo "msblast.exe" permanece en el sistema del equipo del cliente.
DETALLES TÉCNICOS:
Este gusano rastrea un rango de direcciones IP para buscar sistemas vulnerables a través del puerto 135 TCP. El gusano intenta aprovecharse de la vulnerabilidad del boletín de seguridad MS03-026.
Una vez que el equipo es infectado, descarga y ejecuta el archivo MSBLAST.EXE desde un sistema remoto usando TFTP. Una vez ejecutado el gusano crea la clave de registro : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
COMO SABER SI SU EQUIPO ESTÁ INFECTADO:
El síntoma típico es el reinicio del sistema cada poco minutos sin la intervención del usuario. También algunos cliente podrían ver:
| • | La presencia de archivos TFTP* no usuales |
| • | La presencia del archivo msblast.exe en el directorio WINDOWS\SYSTEM32 |
Para detectar el virus, busque el archivo msblast.exe en el directorio WINDOWS\SYSTEM32 o \WINNT\System32 o descargue la última actualización software de su programa antivirus y compruebe su equipo.
Por favor póngase en contacto con su fabricante de antivirus para más información sobre este virus.
PREVENCIÓN Y SOLUCIÓN:
Este gusano utiliza un vulnerabilidad ya anunciada como método de infección. Por ello, tanto para este virus como para futuros virus que pudieran utilizar esta vulnerabilidad los clientes deben asegurarse de que sus equipos tienen instalado la actualización de seguridad MS03-026.
Si usted usa Microsoft ® Windows NT® 4.0, Windows® 2000, Windows XP, o Windows Server™ 2003, siga ordenadamente los siguientes pasos para ayudar a proteger a su equipo y eliminar el virus si su equipo ha sido infectado.
PASO 1. Habilitar el Servidor de Seguridad de conexión a Internet
Compruebe que tiene un servidor de seguridad activado para ayudarle a proteger su equipo antes de empezar otros pasos. Si su equipo ha sido infectado, activar el software del servidor de seguridad ayudará a limitar los efectos de este gusano en su equipo.
Los últimos sistemas operativos Windows disponen de un servidor de seguridad. Los usuarios de Windows XP y Windows Server 2003 deberán imprimir o guardar las siguientes instrucciones sobre cómo habilitar su servidor de seguridad, y después desconectarse de Internet inmediatamente. Siga las siguientes instrucciones y después vuelva a conectarse a Internet.
Para habilitar el Servidor de seguridad de conexión a Internet en Windows XP Professional, Windows XP Home Edition o Windows Server 2003:
| • | En el Panel de control, haga doble clic en Mis sitios de Red, y haga clic en Conexiones de red. |
| • | Haga clic con el botón derecho en la conexión en la que desea habilitar el Servidor de Seguridad , y después haga clic en Propiedades. |
| • | En la ficha Avanzadas, haga clic en el cuadro para seleccionar la opción Proteger mi equipo o mi red limitando o impidiendo el acceso a él desde Internet. |
Usuarios con Windows NT 4.0 y Windows 2000:
Necesitarán instalar un software de Servidor de seguridad de terceros. La mayor parte de fabricantes de software de Servidores de seguridad para usuarios domésticos ofrecen versiones gratuitas o limitadas. Visite los siguientes enlaces para más información sobre Servidores de seguridad de terceros:
| • | ZoneAlarm Pro (Zone Labs) |
| • | Tiny Personal Firewall (Tiny Software) |
| • | Outpost Firewall (Agnitum) |
| • | Kerio Personal Firewall (Kerio Technologies) |
| • | BlackICE PC Protection (Internet Security Systems) |
Usuarios de Windows 2000:
Como alternativa, pueden seguir los pasos para bloquear los puertos afectados para asegurar su equipo. Para ello consulte el artículo Cómo configurar el filtrado TCP/IP en Windows 2000.
PASO 2. Actualizar Windows
Descargue e instale el parche del Boletín de seguridad de Microsoft MS03-26 apropiada para su sistema operativo. Cuando haga clic en los enlaces siguientes, aparecerá un cuadro de diálogo. Para empezar el proceso de descarga haga lo siguiente:
| • | Para empezar la instalación inmediatamente, haga clic en Abrir o Ejecutar este programa desde su ubicación actual. |
| • | Para copiar la descarga en su equipo e instalarla posteriormente, haga clic en Guardar o Guardar este programa en disco. Después de guardar, abra el archivo y siga las instrucciones. |
PASO 3. Termine el proceso MSBLAST.EXE y borre las entradas del registro
Siga las siguientes instrucciones para terminar el proceso MSBLAST.EXE:
1. Abra el Administrador de tareas de Windows (CTRL+ALT+SUPR o CTRL+SHIFT+ESC ) y seleccione la ficha Procesos.
2. Seleccione el proceso MSBLAST.EXE de la lista y haga clic en el botón Terminar proceso.
3. Cierre y vuelve abrir el Administrador de tareas para comprobar que se ha finalizado el proceso (si no aparece en la lista se ha finalizado el proceso).
4. Cierre el Administrador de tareas.
Siga las siguientes instrucciones para borrar las entradas del registro:
1. Haga clic en Inicio, a continuación haga clic en Ejecutar, escriba regedit y a continuación presione la tecla Entrar.
2. Haga clic en la clave de registro HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3. Elimine la entrada de registro ”windows auto update" = MSBLAST.EXE
4. Cierre el editor del registro.
PASO 4. Comprobación con el antivirus
Como siempre, compruebe que dispone de la última versión de su fabricante de antivirus, para detectar los últimos virus y sus variantes.
| • | Si ya tiene un software de antivirus instalado, vaya al sitio web de su fabricante de antivirus para obtener las últimas actualizaciones. |
| • | Si no tiene un software de antivirus instalado, adquiera uno. Visite los sitios web de fabricantes de antivirus para encontrar información de cómo adquirir un software antivirus. |
Si usted piensa que aún así puede existir la posibilidad de que esté infectado, use las herramientas de eliminación del virus disponibles en los sitios web de los fabricantes de antivirus. Para más información sobre este virus gusano, consulte los siguientes sitios web de fabricantes de antivirus:
BOLETINES DE SEGURIDAD RELACIONADOS:
www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp
Como siempre, recomendamos asegurarse de que se está utilizando un software de detección Antivirus actualizado, proporcionado por su fabricante de software antivirus para detectar nuevos virus y sus variantes.
Para más información puede ponerse en contacto con el departamento de Atención al Cliente de Microsoft en el teléfono 902 197 198 ó 91 353 69 60 si llama desde Madrid capital.