SOluCion DEl nuevo GusAno xP

diker

nuevo fallo q tocas los webos a to2 un mensajito q ralla un webo y te obliga a reiniciar 1 min
Foto del mensajito ::http://galeon.com/socialpage/xp_error.JPG
La gente dice Q la solucion esta en descarga este programa q ta en la web pero ese programa n mas blokea |http://download.microsoft.com/download/6/6/0/660dd9a5-c7b4-4d62-9c1d-025b073c1c7b/WindowsXP-KB823980-x86-ESN.exe esto es la puta mierda aun el gusano (virus)...esta Aun en tu PC asin Q la mejor solucion
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

Detalles: Blaster

Alias:WORM_MSBLAST.A (Trend Micro), W32/Blaster (Panda Software), W32/Lovsan.worm (McAfee), W32.Blaster.Worm (Symantec), I-worm.Lovsan (Kaspersky (viruslist.com)), Troj/Msblas (PerAntivirus), WIN32/LOVSAN.A (Enciclopedia Virus (Ontinent)), W32/Blaster-A (Sophos), Win32.Poza (Computer Associates)
Nombre completo Worm.WNT/Blaster@RPC

Plataforma: Windows NT, 2000, XP, 2003 Tamaño (bytes): 11296 Tamaño comprimido (bytes): 6176

Peligrosidad: 4 - Alta Difusión: Alta Fecha de Alta:12-08-2003
Ultima Actualización:12-08-2003
Daño: Medio
Explicación de los criterios Dispersibilidad: Alto

Descripción
Se trata de un virus con una capacidad de propagación muy elevada. Esto lo consigue porque hace uso de una vulnerabilidad de los sistemas Windows NT, 2000 XP y 2003 (que son los únicos afectados) conocida como "Desbordamiento de búfer en RPC DCOM ".

Se trata de una vulnerabilidad para la que hay parche desde Junio de 2003, todos los usuarios que no hayan actualizado su sistema desde esa fecha deberían hacerlo inmediatamente. Por otra parte se propaga usando el puerto TCP 135, que no debería estar accesible en sistemas conectados a Internet con un cortafuegos correctamente configurado.

Los efectos destructivos consisten en lanzar ataques de denegación de servicio con el web de Microsoft "windows update" y quizás provocar inestabilidad en el sistema infectado.

Detalles
Vulnerabilidad Windows en "RPC DCOM "

Este gusano explota la vulnerabilidad conocida como "Desbordamiento de Búfer en RPC DCOM", una vulnerabilidad en llamadas a procedimiento remoto (RPC) mediante el modelo de objetos distribuidos (DCOM). Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario.

Más información sobre este vulnerabilidad en el Boletín de Seguridad de Microsoft MS03-26

Método de propagación

El gusano está constamente escaneando subredes IP de clase C; empieza por una dirección x.y.z.0, donde x,y,z son valores aleatorios, y barre el rango de direcciones incrementando de uno en uno el cuarto octeto. Si en alguna de estas direcciones IP se encuentra con un sistema vulnerable que aún no ha sido infectado, entonces le enviará datos al puerto 135 con el fin de provocar el desbordamiento de búfer. Este desbordamiento permite al gusano abrir en el sistema atacado una shell remota. A esa shell se le envían los comandos correspondientes para que el sistema, mediante protocolo TFTP, descarge el fichero msblast.exe en el directorio de sistema de Windows.

NOTAS:
1.- Normalmente este directorio es C:\Windows\System32 o bien C:\WINNT\System32.
2.- TFTP (trivial file transfer protocol) es un protocolo FTP simplificado.

Además, se le ordenará al sistema infectado, mediante la shell remota, que que ejecute ese fichero (que es el que se acaba de descargar y el que contiene el gusano).

Ataque de denegación de servicio distribuido

En los meses de enero a agosto, el gusano lanzará un ataque de denegación de servicio desde el día 16 de esos meses hasta el 31.
El resto de meses, de septiembre a diciembre, el gusano lanzará ese ataque todos los días del mes.
Claves añadidas al registro

El gusano añade alguna de las siguientes claves:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Otros detalles

El gusano utiliza los puertos TCP 135, 4444 y el UDP 69.
Está empaquetado con UPX.
El gusano contiene el siguiente texto dentro de su código:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Solución
Enlaces a herramientas que eliminan el virus

Los principales fabricantes antivirus han publicado herramientas, que pueden descargarse gratuitamente desde sus páginas web, y que eliminan este gusano de un sistema infectado. Damos aquí un listado de algunas de esas herramientas:

System Cleaner de Trend Micro
Blaster Removal Tool de Symantec
Herramienta de Computer Associates
PQRemove de Panda Software

Terminar el proceso asociado al gusano

Abrir el administrador de tareas de windows (CTRL+SHIFT+ESC) y seleccionar las pestaña "Procesos"
En la lista que aparece, seleccionar el proceso MSBLAST.EXE y pulsar el botón "Terminar proceso"
Comprobar que se ha finalizado ese proceso (cerrando el administrador de tareas, volviéndolo a abrir y comprobar que no aparece en la lista).
Cerrar el administrador de tareas.

Borrar entradas en el registro

Abrir el editor del registro (pulsar Inicio->Ejecutar, escribir regedit y pulsar la tecla Enter).
En el panel izquierdo, hacer doble click en:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
En el panel derecho, localizar y borrar la entrada ”windows auto update" = MSBLAST.EXE
Cerrar el editor del registro.

Instrucciones adicionales para usuarios de Windows XP
Para estos usuarios, además de los pasos anteriores, es preciso deshabilitar el "System Restore" de Windows XP. Para ello:

Entrar como admistrador del sistema
Doble click sobre "Mi PC" (en el escritorio) y pinchar en "Propiedades"
Ir a System Restore
Seleccionar "Deshabilitar System Restore"
Pulsar Aplicar > Sí > Aceptar
Continuar con el proceso de limpieza.

Escaneado con el antivirus
Indicar al antivirus instalado que haga un escaneado de todo el sistema (asegurarse antes de que el antivirus contiene las últimas actualizaciones). Caso de no tener antivirus, ir al directorio System32 (normalmente C:\Windows\System32 o C:\WINNT\System32) y ahí borrar completamente el fichero MSBLAST.EXE.

Aplicar parche
Puede instalar el parche automáticamente en el sitio de Windows Update (requiere Internet Explorer) o puede dirigirse al Boletín de Seguridad de Microsoft MS03-26 y ahí descargar el parche e instalarlo en el sistema.

Más información acerca de este virus en:
Trend Micro
Panda Software
McAfee
Symantec
PerAntivirus
VS Antivirus
Enciclopedia Virus (Ontinent)
Sophos
Computer Associates

h0tz

puede tener otro nombre? como ... svchost.exe?

skcat

hotz el svhost.exe es un archivo del windows que se encarga de ejecutar los servicios k corren con .dll

el MSBLAST.EXE es el archivo k crea estw gusano en tu pc

El virus en cuestion se dice BLASTER

8 días después
erhnam

pos m cago en su puta madre del virus blaster!!!
¬¬
PD: tengo xd

Usuarios habituales

  • erhnam
  • skcat
  • h0tz
  • diker