¡Pulse aquí para comprar Norton AntiVirus 2003!

W32.Blaster.Worm

Descubierto el: 11/08/2003

Actualizado por última vez el: 12/08/2003

Basados en el número de notificación recibidas de los usuarios y basados en la información de Symantec DeepSight Threat Management System, Symantec Security Response ha elevado la categoría de esta amenazade nivel 3 a nivel 4.

W32.Blaster.Worm es un gusano que explota la vulnerabilidad de DCOM RPC (llamada remota de procedimientos descrita en Microsoft Security Bulletin MS03-026, este recurso esté en inglés) utilizando el puerto 135 del protocolo TCP. Intentará descargar y ejecutar el archivo msblast.exe.

Los usuarios deben de bloquear el acceso al puerto 4444 TCP en la capa de firewall. Incluso deberán bloquear los siguientes puertos, si no utilizan las aplicaciones mencionadas.

Puerto 135 TCP, "DCOM RPC"
Puerto 69 UDP, "TFTP"

Este gusano también tratará de realizar una negación de servicio (DoS) en windowsupdate.com. este es un intento para evitar que usted aplique el parche en su equipo y así cancelar la vulnerabilidad de DCOM RPC.

Haga clic aquí para obtener más información sobre la vulnerabilidad que está siendo explotada por el gusano y para encontrar que productos de Symantec pueden ayudar mitigar los riesgos de esta vulnerabilidad.

NOTA: Esta amenaza será detectada con las definiciones de virus:

Versión: 50811s
Número de secuencia: 24254
Versión extendida: 8/11/2003, rev. 19

Symantec Security Response ha desarrollado una herramienta para limpiar las infecciones causadas por W32.Blaster.Worm.

También conocido como: W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda]

Tipo: Worm

Longitud de la infección: 6,176 bytes

Sistemas afectados: Windows 2000, Windows XP

Sistemas no afectados: Linux, Macintosh, OS/2, UNIX

Referencias CVE: CAN-2003-0352

protección

Definiciones de virus beta

11/08/2003

Definiciones de virus (Intelligent Updater) *

11/08/2003

Definiciones de virus (LiveUpdate™) **

11/08/2003

*

Las definiciones de virus de Intelligent Updater se publican a diario, pero precisan ser descargadas e instaladas manualmente.
Haga clic aquí para realizar la descarga manualmente.

**

Las definiciones de virus de LiveUpdate se publican, por lo general, todos los miércoles.Haga clic aquí si desea obtener más instrucciones sobre el funcionamiento de LiveUpdate.

Salvaje:

Datos de la amenaza

Salvaje: Alta	Daño: Media	Distribución: Alta

Daño

Carga útil:
- Desestabiliza el sistema: May cause machines to crash.
- Pone en peligro la configuración de seguridad: Opens a hidden remote cmd.exe shell

Distribución

Puertos: TCP 135, TCP 4444, UDP 69
Objetivo de la infección: Machines with vulnerable DCOM RPC Services running

Cuando W32.Blaster.Worm se ejecuta, realizará las siguientes tareas:

Genera un Mutex llamado “BILLY”. Si existe el mutes, el gusano saldrá.

Añade el valor:

"windows auto update"="msblast.exe"

a la llave de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runpara poder ejecutarse cuando se inicie Windows.

Calcula una dirección IP aleatoria A.B.C.0, en donde A, B, y C son valores aleatorios entre 0 y 255.

NOTA: 40% de las veces, Si C > 20, un valor aleatorio menor que 20 se restará de C.

Una vez que la dirección IP es calculada, el gusano tratará de localizar y explotar la máquina en la subred local, basado en A.B.C.0. El gusano contará hacia arriba, partiendo de 0 para tratar de localizar y explotar otros equipos basados en la nueva IP.

Envía información en el puerto 135 de TCP que pueden explotar la vulnerabilidad de DCOM RPC.

NOTAS:

Esto implica que la subred local se saturará con peticiones del puerto 135.
Debido a la naturaleza aleatoria en que construye la información el gusano, se pueden provocar conflictos en las computadoras si se envía información incorrecta.
Mientras W32.Blaster.Worm no tenga la posibilidad de dispersarse en equipos con Windows NT o Windows 2003 Server, las computadoras a las que no se las haya instalado el parche y que tengan estos sistemas operativos se pueden bloquear debido al conflicto que causa el gusano al tratar de enviar información. Desde luego si se copia y ejecuta manualmente el gusano en un equipo con estos sistemas operativos, el gusano se instalará y dispersará.

El gusano crea el archivo oculto cdm.exe que comparte vía remota lo que escucha el en el puerto 4444 TCP, permitiendo un posible ataque remoto en el equipo infectado.

Escucha el puerto 69 UDP. Cuando recibe una petición de una computadora en la que fue posible conectarse aprovechando la vulnerabilidad de DCOM RPC, mandará de regreso el msblast.exe y solicitará la ejecución del gusano.

Si el mes es posterior al de Agosto o si la fecha es posterior al día 15, desarrollará una negación de servicio (DoS) en “windowsupdate.com”

Con la lógica actual, el gusano activará la negación de servicio a partir del 16 de este mes y continuará hasta el fin del año.

El gusano tiene el siguiente texto que nunca es visible.

I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

Symantec ManHunt
La tecnología de Symantec ManHunt, Protocol Anomaly Detection, detecta la actividad asociada a esta amenaza como "Portscan." Aunque ManHunt puede detectar la actividad asociada con la tecnología de Protocol Anomaly Detection technology, usted puede hacer uso de la firma personalizada "Microsoft DCOM RPC Buffer Overflow", liberada en Security Update, para así identificar en forma precisa cuando se envían los datos para explotar esta vulnerabilidad.

Symantec Security Response invita a todos los usuarios y administradores a adherirse a las siguientes "mejores prácticas" básicas para su seguridad:

Desconecte y elimine todos los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como clientes de FTP, telnet y servidores de web. A través de estos servicios penetran buena parte de los ataques. Por lo tanto, si se eliminan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.

Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
Mantenga siempre el parche actualizado, sobre todo en equipos que ofrezcan servicios públicos, a los que se puede acceder a través de algún firewall como, por ejemplo, servicios HTTP, FTP, de correo y DNS.
Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños cuando un equipo es atacado o, al menos, limita esta posibilidad.
Configure su servidor de correo electrónico para que bloquee o elimine los mensajes que contengan archivos adjuntos que se utilizan comúnmente para extender virus, como archivos .vbs, .bat, .exe, .pif y .scr.
Aísle rápidamente los equipos que resulten infectados para evitar que pongan en peligro otros equipos de su organización. Realice un análisis posterior y restaure los equipos con medios que sean de su confianza.
Instruya a sus empleados para que no abran archivos adjuntos a menos que los esperen. El software descargado desde Internet no debe ejecutarse, a menos que haya sido analizado previamente en busca de virus. Basta únicamente con visitar un sitio web infectado para que pueda infectarse si las vulnerabilidades del explorador de web no han sido correctamente corregidas con parches.

Eliminación de W32.Blaster.Worm por medio de la herramienta
Symantec Security Response ha desarrollado una herramienta de eliminación de W32.Blaster.Worm. Esta es loa forma más sencilla de eliminar las infecciones causadas por esta amenaza y debería de utilizarse en primera instancia.

Eliminación manual
Como una alternativa a la herramienta de eliminación, usted puede eliminar de forma manual esta amenaza.

Las instrucciones siguientes corresponden a todos los productos Symantec Antivirus incluyendo los corporativos Symantec Antivirus y la línea de productos Norton Antivirus para consumidor.

Nota importante: W32.Blaster.Worm es un gusano que explota la vulnerabilidad de DCOM RPC (llamada remota de procedimientos) descrita en Microsoft Security Bulletin MS03-026, (este recurso esté en inglés) y el parche de actualización se encuentra ahí. Usted deberá descargar e instalar el parche. En muchos casos, necesitará hacer esto antes de proceder con el proceso de eliminación del gusano. Si tiene problemas para eliminar la infección o prevenir la reinfección por medio de estas instrucciones, descargue e instale el parche de actualización.

Deshabilite Restaurar Sistema (Windows Me/XP).
Actualice las definiciones de virus.
Finalice los procesos Troyanos.
Ejecute un análisis completo del sistema y elimine todos los archivos que se detecten como W32.Blaster.Worm.
Corrija los cambios que el Troyano hizo en el registro.

Para más detalles sobre cómo llevar a cabo estos pasos, lea las instrucciones a continuación.

1. Deshabilitar Restaurar sistema de Windows ME/XP
Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft.

2. Para actualizar definiciones de virus
Symantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:

Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos d definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

3. Finalice procesos Troyanos

Reinicie el equipo en Modo a prueba de fallos. Todos los sistemas operativos de 32 bits de Windows, a excepción de Windows NT, se pueden reiniciar en modo A prueba de fallos. Si necesita instrucciones para hacerlo, consulte el documento "Cómo iniciar el equipo en modo A prueba de fallos".

Windows NT/2000/XP

Para finalizar el proceso troyano:

Presione una vez CTRL+ALT+SUPR.
Haga clic en Administrador de tareas.
Haga clic en la pestaña Procesos.
Haga clic dos veces en el encabezado de columna Nombre de imagen para ordenar los procesos alfabéticamente.
A continuación, busque el archivo msblast.exe por la lista.
Cuando lo encuentre, haga clic en él y presione el botón Terminar proceso.
Salga del Administrador de tareas.

4. Para buscar y eliminar los archivos infectados
Inicie su programa de antivirus Symantec y asegúrese de que esté configurado para analizar todos los archivos.

Para productos de consumidor Norton AntiVirus: Lea el documento, "Cómo configurar Norton Antivirus para que analice todos los archivos."
Para productos Symantec AntiVirus Enterprise: Lea el documento, "Cómo averiguar si un producto antivirus empresarial de Symantec está configurado para analizar todos los archivos."

Ejecute una búsqueda completa de virus.
Sí se detecta algún archivo infectado por W32.Blaster.Worm, haga clic en Eliminar.

5. Para corregir los cambios hechos en el Registro de Windows

ADVERTENCIA: Symantec recomienda insistentemente que se haga una copia de respaldo del Registro antes de efectuar cualquier cambio. La realización de cambios incorrectos en el registro puede ocasionar la pérdida definitiva de datos o daños en los archivos. Modifique sólo las claves que se indiquen. Las instrucciones para hacer la copia se detallan en el documento Cómo crear una copia de respaldo del Registro de Windows.

Haga clic en Inicio y, después, en Ejecutar. (Aparecerá el cuadro de diálogo Ejecutar.)
Escriba regedit.

A continuación, haga clic en Aceptar. (Se abrirá el Editor del Registro.)
Desplácese hasta la clave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
En el panel derecho, elimine el valor:"windows auto update"="msblast.exe"
Salga del Editor del Registro.

Escrito por: Douglas Knowles