Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Lovsan, Blaster o MSBlast. Una pesadilla anunciada
 
VSantivirus No. 1131 Año 7, Martes 12 de agosto de 2003

Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm

Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/


[Publicado con autorización de Enciclopedia Virus]

Una gran cantidad de equipos infectados por el gusano Lovsan.A, demuestra que la mayoría de las personas no actualiza jamás su sistema operativo (recordemos que Windows ofrece también una actualización automática, que muchas veces es desactivada por los usuarios).

Lovsan, también conocido como Blaster, MSBlast o Poza, utiliza la vulnerabilidad RPC DCOM, reportada a mediados de julio por Microsoft, y para la cuál existe desde ese entonces un parche (boletín MS03-026 de Microsoft).

El gusano se propaga a través del puerto TCP/135, el cuál permite compartir recursos con otras computadoras. Busca otros sistemas vulnerables y crea un shell (sesión de comandos), en el puerto TCP/4444 para descargar el archivo MSBLAST.EXE, el gusano propiamente dicho.

Por los reportes recibidos, la mayoría de las infecciones se han producido entre usuarios de canales de IRC y grupos de noticias, donde muchos usuarios incautos y desprotegidos, han abierto literalmente las puertas de sus computadoras al ingreso de código malicioso, causando una propagación de grandes proporciones.

Muchos usuarios aún ignoran estar infectados, y se ven cientos de mensajes en grupos de noticias, pidiendo ayuda por la aparición de mensajes como este: "Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHY\SYSTEM".

Este mensaje, que aparece antes del reinicio del equipo infectado (y vuelve a aparecer en forma continua luego de reiniciar), es una consecuencia secundaria causada por un error en el componente utilizado para aprovecharse de la vulnerabilidad en el servicio RPC (Llamada a Procedimiento Remoto).

Aún cuando la instalación del parche mencionado es importante, la existencia de un cortafuegos activo, también podría haber evitado la infección. Algunos no los utilizan, porque en ocasiones, se les dificulta el acceso a redes de intercambio de archivos (P2P). Lamentablemente, las consecuencias de esta actitud, pueden ser peores.

En el caso de este gusano, aún cuando existen formas de eliminarlo, nunca se podría saber hasta que punto un intruso hizo de las suyas en la computadora infectada, por lo que la única solución realmente segura, en el caso de haber aparecido un mensaje como el mencionado, es formatear y reinstalar el sistema operativo seguido de las actualizaciones disponibles, incluido el parche mencionado.

Pero el gusano posee otra característica que lo vuelve altamente destructivo. En determinadas fechas, comenzando el 16 de agosto de 2003, todas las computadoras infectadas pueden enviar al puerto 80 del servidor de actualizaciones de Microsoft (Windowsupdate.com), miles de solicitudes falsas, lo que podría ocasionar el bloqueo del mismo. Esto impediría actualizar Windows, con lo que el propio gusano tendría más probabilidades de propagarse.

Y si en pocas horas, el mismo ha causado tantos estragos, dicha situación podría ser preocupante.

Un gusano como éste, es solo uno de tantos posibles que se han venido anunciando desde que se hizo público el primer exploit que se aprovechaba de esta vulnerabilidad crítica (en julio), y que los expertos han estado advirtiendo desde ese entonces.



(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php

Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=250




Más información:

W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm

Ayudando a crear un gusano
http://www.vsantivirus.com/26-07-03.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS