Nuevo virus: Blaster (Worm.W32/Blaster)

Un gusano no es lo mismo que un virus, pero joroba igualmente.

Se ha detectado esta misma mañana un nuevo virus de tipo gusano al que se le ha denominado Blaster (Worm.W32/Blaster). Según informa el Centro Alerta-Antivirus se trata de un virus de alta peligrosidad, con una capacidad de propagación muy elevada, que afecta únicamente a los sistemas Windows NT, 2000 y XP. Debido a su forma de propagación, son especialmente vulnerables a la infección aquellos sistemas que están conectados a la red durante largo tiempo.

Este gusano en cuestión se aprovecha de una vulnerabilidad de estos sistemas, conocida como "Desbordamiento de búfer en RPC DCOM" (Véase el Boletín de Microsoft MS03-026). Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario. Es por ello muy importante descargarse el parche que proporciona Microsoft, ya que es la mejor manera de evitar que el sistema se infecte con este gusano.

El gusano se propaga de forma autónoma, sin intervención del usuario. Lo que hace es rastrear la red buscando un sistema vulnerable que aún no haya sido infectado. Entonces le envia datos al puerto 135 con el fin de provocar el desbordamiento de búfer. Este desbordamiento permite al gusano abrir en el sistema atacado una shell remota. A esa shell se le envían los comandos correspondientes para que el sistema, mediante protocolo TFTP, se descargue el fichero ejecutable del gusano (MSBLAST.EXE) en el directorio WINDOWS\SYSTEM32 o bien WINNT\SYSTEM32, dependiendo del SO.

El efecto destructivo consiste en lanzar un ataque distribuído de denegación de servicio (DDoS) contra el sitio web de Microsoft "Windows Update", lanzando su ataque de desde el día 16 hasta el 31 entre enero y agosto, y todos los días del mes entre septiembre y diciembre. Aparte de este ataque DDoS, el gusano puede provocar inestabilidad en el sistema infectado.

Como curiosidad, el gusano contiene en su código el siguiente texto:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Este gusano se puede desactivar y eliminar con relativa facilidad. Basta con abrir el administrador de Tareas, localizar el proceso MSBLAST.EXE y terminarlo. A continuación se borra la entrada del registro que arranca el proceso al iniciar el equipo. Ésta es la denominada "windows auto update", y está dentro de la clave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run. Por último, se elimina el fichero MSBLAST.EXE del directorio SYSTEM32. En Windows XP es necesario además deshabilitar la función "System Restore" antes de realizar este último paso. Todo el proceso se describe con más detalle en la web del Centro Alerta-Antivirus.

Y por supuesto, no te olvides de instalar el parche.

-- Wayfarer

Más información acerca de este virus en:

Escrito el martes 12 de agosto de 2003 a las 10:43 por Wayfarer
Semana anterior |  Indice de Archivos |  Semana siguiente |  Permalink |  Inicio de página