Afecta a miles el gusano Lovsan / MSBlast Fuente: Microasist <http://www.microasist.com.mx/> <http://servicios.t1msn.com.mx/lovsan/f-lovsan.zip>
F-Secure acaba de anunciar que este gusano está en alarma 1, ya que se está extendiendo rápidamente. El síntoma típico es que se reinicializan los equipos con WIN XP. Este archivo de 6176 bytes ejecutable aparece con el nombre de "msblast.exe" que aparentemente hace uso de una vulnerabilidad llamada MS03-026 DCOM/RPC. Revise en http://www.microsoft.com/technet/security/bulletin/MS03-026.asp, para checar si ya tiene usted el parche de Microsoft. Y visite frecuentemente http://windowsupdate.microsoft.com/, para actualizar los parches de seguridad. Al tratar de atacar las computadoras aparece lo siguiente: Este mensaje lo envía el Sistema Operativo y dependerá del lenguaje nstalado en la máquina. Algoritmo de Infección: El algoritmo posee capacidades aleatorias para alternar puntos de análisis de redes y poder contaminarlas, lo que lo hace muy escurridizo. En base a la IP de la red y un sistema aleatorio de infección de la estructura IP: A.B.C.D, el gusano toma la IP de la máquina infectada y crea una conexión vía el puerto 135 en cada una de las IP´s de la red en la que se ubica y revisa si la conexión es exitosa. EL gusano utiliza varas de las vulnerabilidades de WIN XP y 2000 por lo que la infección no es exclusiva de WIN XP. Utiliza TFTP (Trivial File Transfer Protocol). El cliente para este protocolo viene en Windows 2000/XP y el gusano funciona en ese momento como servidor de TFTP. Infección: Cuando Lovsan entra a un sistema vulnerable, introduce el programa 'msblast.exe' que se añade al registro así: 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update' De esta forma el gusano inicia cada vez que arranca Windows. Daño causado: A partir del 16 de Agosto, las Pc´s infectadas con este gusano enviaran en forma masiva miles de paquetes a windowsupdate.com, paquetes de 40 bytes en intervalos de 20 milisegundos por el puerto 80 (http) serán enviados, con el objetivo de causar una Negación de Servicio al sitio de Microsoft. El gusano contiene esta información (que no es desplegada): I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Desinfección <http://servicios.t1msn.com.mx/lovsan/f-lovsan.zip> Es posible eliminar el gusano de manera manual: 1, Termine la ejecución del programa msblast.exe usando el "administrador de procesos" 2, Elimine el archivo "msblast.exe" del directorio System de Windows 3, Elimine del registro: 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update'