Alerta de Virus Nachi, Blaster-D, Welchia

Alerta de virus

Alerta del Equipo de Seguridad de PSS - Nuevo gusano: Nachi, Blaster-D, Welchia

Gravedad: Crítica

Fecha: 18 de Agosto de 2003

Productos afectados: Windows 2000 y XP, Internet Information Services 5.0

Descargue cuanto antes la nueva revisión de seguridad

Instale el parche de seguridad del boletín de Seguridad MS03-039 y las últimas actualizaciones de Windows y Office. Si tenía instalado el parche MS03-026 tiene que actualizarlo con el MS03-039.


DESCRIPCION:

Se está propagando salvajemente un nuevo gusano. El Equipo de Seguridad de PSS está enviando esta alerta para avisar a los clientes de que deben vigilar la aparición de este virus, ya que se propaga a gran escala. Se recomienda a los clientes revisar la información y adoptar las acciones más adecuadas para sus entornos.

IMPACTO DEL ATAQUE:

Propagación por la red, instalación de parches

DETALLES TECNICOS:

De la misma forma que el primer gusano Blaster y sus variantes, este gusano también aprovecha la vulnerabilidad corregida en el Boletín de Seguridad de Microsoft MS03-026, y ordena a los equipos que ataca descargar una copia de sí mismo desde un sistema infectado utilizando el programa TFTP.

Además de aprovechar la vulnerabilidad corregida en el Boletín de Seguridad de Microsoft MS03-026, este gusano también se apoya en la vulnerabilidad corregida en el Boletín de Seguridad de Microsoft MS03-007, dirigiéndose a IIS 5.0 por el puerto 80 para propagarse por sistemas no protegidos por este parche.

Finalmente, después de haber infectado la máquina, este gusano además aplica a la propia máquina el parche incluido en el Boletín de Seguridad MS03-026. En primer lugar, determina qué sistema operativo es, y después se descarga el parche para ese sistema operativo.

Para conocer más detalles sobre este antivirus ofrecida por los fabricantes de software antivirus que participan en VIA (Microsoft Virus Information Alliance), por favor visite las siguientes páginas de Internet:

Network Associates: http://vil.nai.com/vil/content/v_100559.htm

Trend Micro: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=36372

Para obtener más información sobre VIA (Microsoft Antivirus Information Alliance) visite este sitio web: www.microsoft.com/technet/security/topics/virus/via.mspx

Puede contactar con su proveedor de Antivirus para conocer más detalles sobre este virus.

PREVENCION:

Habilite el ICF (Internet Connection Firewall) en Windows XP o Windows Server 2003, o utilice algún software de firewall de otros fabricantes para bloquear el tráfico entrante en los puertos TCP 80, 135, 139, 445 y 593, y en los puertos UDP 135, 137 y 138.

Para activar el Internet Connection Firewall en Windows XP, por favor lea las instrucciones que siguen a continuación o el artículo de la Knowledge Base http://support.microsoft.com/?id=283673

1. En el Panel de Control haga doble click en Conexiones de Red e internet, y después, seleccione Conexiones de Red.

2. Marque con el botón derecho la conexión en la que desea activar ICF y seleccione Propiedades.

3. En la solapa Avanzadas, seleccione la opción de Proteger mi equipo y mi red.

Este gusano hace uso de dos vulnerabilidades previamente anunciadas como parte de su sistema de infección. Debido a esto, los usuarios deben cerciorarse de que sus ordenadores ya han corregido estas vulnerabilidades identificadas en los siguientes Boletines de Seguridad de Microsoft:

www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp

www.microsoft.com/spain/technet/seguridad/boletines/MS03-007-IT.asp

Para ayudar a los usuarios en la instalación del parche incluido en el Boletín de Seguridad de Microsoft MS03-026, Microsoft pone a su disposición una herramienta que puede emplearse para localizar la presencia de ordenadores que no tienen instalado el parche de MS03-026. Se pueden conocer más detalles sobre esta herramienta en el artículo de la Knowledge Base 826369.

RECUPERACIÓN:

Si su ordenador está infectado con este virus, por favor siga las instrucciones que se indican en esta página: www.microsoft.com/spain/technet/seguridad/pcprotect/3pasos.asp. Después de actualizar sus definiciones de virus, proceda a examinar su máquina utilizando su programa antivirus, siguiendo las instrucciones de borrado aplicables. Si tras haber seguido estos pasos necesita más ayuda, por favor contacte con su proveedor de software antivirus habitual o con el Servicio de Soporte de Producto de Microsoft (PSS).

BOLETINES DE SEGURIDAD RELACIONADOS:

www.microsoft.com/technet/security/bulletin/MS03-026.asp

www.microsoft.com/technet/security/bulletin/MS03-007.asp


Como siempre, recomendamos asegurarse de que se está utilizando un software de detección Antivirus actualizado, proporcionado por su fabricante de software antivirus para detectar nuevos virus y sus variantes.

Para más información puede ponerse en contacto con el departamento de Atención al Cliente de Microsoft en el teléfono 902 197 198 ó 91 353 69 60 si llama desde Madrid capital.