Afecta a miles el gusano Lovsan / MSBlast Fuente: Microasist <http://www.microasist.com.mx/> � � <http://servicios.t1msn.com.mx/lovsan/f-lovsan.zip>
F-Secure acaba de anunciar que este gusano est� en alarma 1, ya que se est� extendiendo r�pidamente. El s�ntoma t�pico es que se reinicializan los equipos con WIN XP. �Este archivo de 6176 bytes ejecutable aparece con el nombre de "msblast.exe" que aparentemente hace uso de una vulnerabilidad llamada MS03-026 DCOM/RPC. �Revise en http://www.microsoft.com/technet/security/bulletin/MS03-026.asp, para checar si ya tiene usted el parche de Microsoft. Y visite frecuentemente http://windowsupdate.microsoft.com/, para actualizar los parches de seguridad. �Al tratar de atacar las computadoras aparece lo siguiente: �Este mensaje lo env�a el Sistema Operativo y depender� del lenguaje nstalado en la m�quina. �Algoritmo de Infecci�n: �El algoritmo posee capacidades aleatorias para alternar puntos de an�lisis de redes y poder contaminarlas, lo que lo hace muy escurridizo. �En base a la IP de la red y un sistema aleatorio de infecci�n de la estructura IP: A.B.C.D, el gusano toma la IP de la m�quina infectada y crea una conexi�n v�a el puerto 135 en cada una de las IP�s de la red en la que se ubica y revisa si la conexi�n es exitosa. �EL gusano utiliza varas de las vulnerabilidades de WIN XP y 2000 por lo que la infecci�n no es exclusiva de WIN XP. Utiliza TFTP (Trivial File Transfer Protocol). El cliente para este protocolo viene en Windows 2000/XP y el gusano funciona en ese momento como servidor de TFTP. �Infecci�n: Cuando Lovsan entra a un sistema vulnerable, introduce el programa 'msblast.exe' que se a�ade al registro as�: �'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update' �De esta forma el gusano inicia cada vez que arranca Windows. Da�o causado: �A partir del 16 de Agosto, las Pc�s infectadas con este gusano enviaran en forma masiva miles de paquetes a windowsupdate.com, paquetes de 40 bytes en intervalos de 20 milisegundos por el puerto 80 (http) ser�n enviados, con el objetivo de causar una Negaci�n de Servicio al sitio de Microsoft. El gusano contiene esta informaci�n (que no es desplegada): I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Desinfecci�n �� <http://servicios.t1msn.com.mx/lovsan/f-lovsan.zip> Es posible eliminar el gusano de manera manual: 1, Termine la ejecuci�n del programa msblast.exe usando el "administrador de procesos" 2, Elimine el archivo "msblast.exe" del directorio System de Windows 3, Elimine del registro: �'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update'
