CuernavacaGay

Nadie me preguntó, pero de todas maneras lo pongo porque es muy importante. Ya he encontrado a varios amigos infectados con este virus/gusano.

Pondré aquí el mensaje que envié el día de hoy a todos los correos electrónicos del área en donde trabajo.

El mensaje original ha sido ligeramente modificado para proteger nombres inocentes ;)

[quote:3405c9787c]
Me permito distraer su atención para informarles que el día de ayer
lunes 11 de agosto empezó a difundirse un nuevo virus informático tipo
"gusano", llamado "W32.Blaster.Worm" y también conocido con las
variantes "W32/Lovsan.worm", "Win32.Poza", "Lovsan", "WORM_MSBLAST.A",
"W32/Blaster-A" y "W32/Blaster".

Este virus informático ataca EXCLUSIVAMENTE a los equipos que tienen
sistema operativo Microsoft Windows 2000 y Microsoft Windows XP. Este
virus NO ataca a sistemas con Microsoft Windows 95, Microsoft Windows
98, Microsoft Windows 2003 o ningún sistema basado en GNU/Linux.

Afortunadamente, gracias al firewall con que contamos en la empresa,
los equipos de la red interna NO se encuentran
expuestos al ataque de este virus, pero se debe tener cuidado con los
equipos que no pertenecen a nuestra red (como las computadoras
personales en casa) pues estos SÍ son vulnerables. Sobre todo se debe
verificar que las computadoras (laptops) que se usen indistintamente en
ambas redes no se infecten ya que podrían crear una infección interna,
aunque no tenga grandes efectos ya que la conexión a Internet de los
puertos conque ataca se encuentra bloqueada.

Para que las computadoras en casa NO se infecten con este virus siempre
asegúrense de visitar el sitio de "Windows Update"
( http://windowsupdate.microsoft.com/ ) y descargar las actualizaciones
disponibles. También asegúrense de tener un programa antivirus
actualizado ejecutándose constantemente en memoria.

Pueden encontrar más información sobre este virus y la manera de
removerlo en las siguientes direcciones:

http://www.unam-cert.unam.mx/Notas/Notas20...T-2003-008.html
http://securityresponse.symantec.com/avcen...aster.worm.html
http://vil.nai.com/vil/content/v_100547.htm


La explicación técnica de cómo funciona, a grandes rasgos, es la
siguiente:

Este virus busca direcciones IP de ciertos segmentos de red al azar e
intenta enviar ciertos paquetes Al puerto TCP 135 ("DCOM RPC"). Si la
máquina destino es vulnerable (no se le ha aplicado el parche de
actualización) el virus se aloja en la computadora destino y abre un
programa que "escucha" en el puerto 4444 TCP para permitir a atacantes
remotos el acceso a la computadora y tener control sobre ella.
Adicionalmente, el virus crea tráfico en la red al estar constantemente
buscando computadoras infectadas al puerto 135, lo que puede ocasionar
un serio problema de desempeño de la red en general. Finalmente, se cree
que a partir del día 16 de agosto y hasta fin de año, todos los equipos
infectados por este virus enviarán un ataque de tipo "Denial of
Services" (DoS, "Negación de Servicios") al servidor de Windows Update
de Microsoft para evitar que los nuevos equipos se protejan.

Si alguna computadora de la empresa ha sido
infectada, por favor repórtenlo inmediatamente a su unidad informática
y éstas a su vez si requieren ayuda adicional favor de consultarlo directamente
con nosotros.

Saludos cordiales.
[/quote]

Así que ya saben... ¡protejan sus equipos!

mil gracias por la advertencia, e sposible detectar si estamos contaminados?
¿Cuál sería la forma de "curar" los equipos contaminados?

QUOTE (matiasxxx @ Aug 13 2003, 08:29 AM)

e sposible detectar si estamos contaminados? ¿Cuál sería la forma de "curar" los equipos contaminados? [/quote] Sí; hay varias maneras de detectar si están contaminados o no. Una de ellas es abrir una ventana de "Línea de Comando" (Puedes hacerlo con el menú de "Ejecutar" y ahí teclear "CMD.EXE"; lástima que no tengo un equipo con Windows 2000/XP a la mano para confirmarlo) y ahí teclear el comando: Code <code>netstat -a</code> Te aparecerán las conexiones activas de tu máquina hacia internet, con sus respectivos protocolos. Lo que debes de buscar, es que NO tengas una línea parecida a esta Code <code>TCP &nbsp; &nbsp; TuMaquina&#58;4444 &nbsp; &nbsp; hostremoto&#58;puerto</code> En donde "TuMaquina" es el nombre que le asignaste a tu computadora. Si es que tienes dicha conexión abierta, ¡aguas! Quiere decir que estás infectado y que tu computadora está "escuchando" en el puerto 4444 para recibir instrucciones desde Internet por gente malintencionada. Para eliminar el virus, puedes usar alguna de las herramientas que la mayoría de los sitemas antivirus proporcionan, como el "FixBlast.exe" de Symantec que puedes encontrar en http://securityresponse.symantec.com/avcen...aster.worm.html o que incluso anexo el archivo a este mensaje en caso de que alguien quiera utilizarlo. En la misma página que proporcioné anteriormente vienen listados los pasos de cómo quitarlo de forma manual; los traduzco rápidamente: 1. Deshabilitar la opción de "restaurar sistema" de Windows XP (eso es para que no guarde copias del virus junto con el sistema operativo). 2. Actualizar las definiciones del programa antivirus. Esto es para que pueda detectar este reciente virus, que salió el 11 de agosto. 3. Matar el proceso del virus (En el panel de tareas, buscar el proceso "msblast.exe" y darle "Terminar Proceso"). 4. Activar el antivirus para que verifique COMPLETAMENTE la computadora y archivos infectados. 5. Editar el registro (cuidado con este paso), y buscar la llave Code <code>HKEY_LOCAL_MACHINE&#092;Software&#092;Microsoft&#092;Windows&#092;CurrentVersion&#092;Run</code> y eliminar la línea que diga "msblast.exe" Esos son los pasos manuales para eliminarlo; pero les aconsejo que utilicen el archivo adjunto "FixBlast.exe" que hará todo este proceso por ustedes.

Para que se den una idea de la peligrosidad del virus, les pongo aquí una noticia que apareció en el periódico:

[quote:0afe39e29b]
Enreda virus a empresas
 
 
Elevan grado de peligrosidad de gusano a 'salvajismo alto'
 
Por José Manuel López y José Ángel Vela
 
 
El Norte
 
Monterrey, México (12 agosto 2003).- Al intensificar ayer su ataque, el
gusano electrónico "Blaster" provocó en México el cierre temporal de
sucursales bancarias, suspensión de labores en empresas e incluso el
aletargamiento del propio Banco Central del País, Banxico.
 
En su segundo día de embates, el virus sumó entre sus víctimas al Banco
Santander-Serfin, en donde 120 sucursales operaron ayer con normalidad sólo
por una hora, y a Bancomer, al que le paralizó por algunas horas sus oficinas
centrales.
 
La voracidad del bicho no se limitó a trastocar las operaciones de
importantes grupos regiomontanos como Alfa y Vitro, sino que también se
infiltró entre usuarios particulares quienes congestionaron de llamadas los
números telefónicos de apoyo de los proveedores de servicios de internet.
 
"Nos impactó... durante un par de horas afectó los equipos de nuestras
oficinas corporativas en donde trabajan unas 250 personas", refirió Albert
Chico, gerente de Comunicación Corporativa de Vitro.
 
Por su parte el Banco de México ordenó a sus empleados de diferentes regiones
del País, apagar y encender sus equipos computacionales en repetidas
ocasiones durante la jornada de ayer, para minimizar los efectos de "Blaster".
 
Personal de la empresa de telemarketing Merkafon, informó que el bicho afectó
gran parte de las 2 mil 600 computadoras del Centro de Atención telefónica de
la compañía, ocasionando la pérdida de un turno de trabajo y el
incumplimiento de contratos pactados anteriormente.
 
En este contexto, el sistema de alerta de la compañía de antivirus Symantec,
elevó el grado de peligrosidad de "Blaster" en el mundo de un índice de
"salvajismo medio", que tenía el lunes, a "salvajismo alto".
 
Mientras tanto McAffe, otra compañía antivirus, mantuvo a "Blaster" en una
clasificación de peligrosidad media.
 
Sin embargo, estableció, mantiene en observación al bicho electrónico, "por
si es necesario modificar esta clasificación".
 
"No dejamos de recomendar a las empresas que estén prevenidas contra esta
amenaza actualizando sus antivirus y bajando el 'parche' (sistema de
protección) que hizo Microsoft", señaló el analista de McAffe, Marcos López.
 
Las empresas afectadas hasta ahora por "Blaster" sufrieron lentitud en sus
computadoras, presencia de archivos inusuales en sus sistemas y mensajes de
error sobre fallas en el servicio que ocasionan el reinicio del equipo.
 
No obstante, la empresa antivirus F-Secure señaló que "aparentemente", el
gusano no borra archivos ni causa daños permanentes al disco duro.
 
El virus está dirigido a las versiones más recientes del sistema operativo
Windows en su versión 2000, XP, NT y Server 2003, y tiene la particularidad
de propagarse a través de cualquier conexión a internet, sin necesidad de
hacerlo específicamente a través del correo electrónico.
 
Ante la vulnerabilidad que ofrecen los sistemas de Windows a ataques de virus
como "Blaster", empresas regiomontanas como MDY Contact Center, de
telemarketing, y la fabricante de software New Technologies implementaron
plataformas basadas en Linux.
 
Reportes provenientes de Asia y Europa refirieron la presencia del virus en
empresas y contabilizaron alrededor de 20 mil infecciones mientras que en
Estados Unidos se reportaron 300 mil casos.
[/quote]