Flux rss
Necesitan su ayuda
Klez

El virus LovSan/Blaster

Sasser
Bookmark Favorito / Compartir
Il virus - Blaster / LovSan O vírus Blaster/LovSan Das Virus Blaster/LovSan Le virus Blaster / LovSan The LovSan/Blaster virus

Introducción al virus LovSan

Al aparecer en el verano de 2003, LovSan (también conocido como W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, y Win32.Poza.B) es el primer virus cuyo procedimiento consiste en explotar la falla de seguridad en los protocolos RPC/DCOM (Remote Procedure Call (Llamada a Procedimiento Remoto)) en Microsoft Windows. Esta falla permite que se comuniquen los procesos remotos. Al explotar dicha falla con un desbordamiento de búfer, un software dañino (como ser el virus LovSan) puede tomar el control de una máquina vulnerable. Los sistemas como Windows NT 4.0, 2000, XP y Windows Server 2003 están todos afectados.

¿Cómo trabaja este virus?

El gusano LovSan / Blaster está programado para analizar una cantidad aleatoria de direcciones IP en busca de sistemas vulnerables a la falla del RPC en el puerto 135.

Cuando se encuentra con una máquina vulnerable, el gusano abre un shell remoto en el puerto TCP 4444, y hace que el ordenador remoto descargue una copia del gusano en el directorio %WinDir%\system32 al ejecutar el comando TFTP desde la máquina infectada (puerto UDP 69) para comenzar con la transferencia del archivo.

Una vez descargado, el archivo se ejecuta, y luego el virus crea entradas en el registro para que se ejecute nuevamente en forma automática cada vez que el ordenador se reinicia: 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Aún más, el virus LovSan/Blaster ataca el servicio Microsoft Windows Update para afectar así las actualizaciones de los equipos vulnerables.

Síntomas de infección

La explotación de la vulnerabilidad del RPC provoca varios errores en el funcionamiento de los sistemas afectados relacionados a la desactivación del RPC (el proceso svchost.exe / rpcss.exe). Los sistemas vulnerables tienen los siguientes síntomas:

  • Las opciones Copiar/Pegar son defectuosas o no se pueden utilizar
  • Abrir un hipervínculo en una nueva ventana es imposible
  • Mover los íconos es también imposible
  • La búsqueda de archivos de Windows es irregular
  • El puerto 135/TCP está cerrado
  • Windows XP se reinicia: El sistema se reinicia constantemente por NT AUTHORITY\SYSTEM con el/los siguiente/s mensaje/s:

    Ahora, Windows debe reiniciarse debido a la inesperada finalización del servicio de Llamada por Procedimiento Remoto (RPC, por sus siglas en inglés). 
    El sistema se cerrará en 60 segundos. Guarde todos los trabajos sin terminar y cierre la sesión. NT AUTHORITY/SYSTEM inició este cierre de sistema. Windows debe reiniciarse ahora

Erradicación del virus

El mejor método para erradicar el virus LovScan es, en primer lugar, desinfectar el sistema mediante la siguiente herramienta de desinfección:
Descargue la herramienta de desinfección

Si su sistema se reinicia constantemente, debe deshabilitar el reinicio automático:
  • Primero, vaya a Inicio / Ejecutar y luego introduzca el siguiente comando para prevenir que el ordenador se reinicie constantemente: 
    shutdown -a
  • Haga clic con el botón derecho del ratón en Mi PC
  • Haga clic en Propiedades / Opciones Avanzadas / Inicio y Recuperación / Configuración
  • Deshabilite la opción de "reinicio automático".
Puede volver a habilitar esta opción una vez que su sistema funcione con normalidad nuevamente.

Luego, debería actualizar el sistema, ya sea mediante el uso de Windows Update o bajando e instalando el parche que se adecue a su sistema operativo:

Más aún, ya que el virus se propaga mediante el sistema de red de Microsoft Windows, se recomienda encarecidamente instalar un firewall personal en las máquinas que estén conectadas a Internet, y también filtrar los puertos TCP/69, TCP/135 a TCP/139 y TCP/4444.

Más información con respecto al virus



Última actualización el jueves, 16 de octubre de 2008, 15:43:32 .Este documento intitulado « El virus LovSan/Blaster » de Kioskea (es.kioskea.net) esta puesto a diposición bajo la licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.
ELIMINAR virus WIN 32/Reboot.H troyano Hola, quisiera saber si alguien me pidiece ayudar en quitar un virus que tengo en cuarentena se llama Win 32/Rwboot.H troyano. Tengo instalado el antivirus ESET Nod 32, pero no se como quitarlo de cuarentena el virus, o si es que tengo que cambiar de... es.kioskea.net/forum/affich-52288-eliminar-virus-win-32-reboot-h-troyano
Virus - Introducción a los virus Virus Un virus es un pequeño programa informático que se encuentra dentro de otro programa que, una vez ejecutado, se carga solo en la memoria y cumple instrucciones programadas por su creador. La definición de un virus podría ser la siguiente:... es.kioskea.net/contents/virus/virus.php3
Utilidades para eliminar virus y gusanos comunes ¿Qué es una herramienta de desinfección? Una herramienta de desinfección es un pequeño archivo ejecutable que sirve para limpiar un equipo que ha sido infectado por un virus determinado. Por lo tanto, cada herramienta de desinfección es capaz de... es.kioskea.net/contents/virus/desinfection.php3
Eliminar el virus VirutIndice: Qué es el virus Virut Medidas de precaución Cómo evitar ser infectado por Virut Cómo actúa Virut Para comenzar Primer método: Dr.Web CureIt! Segundo método: AVPTool Tercer método: eScan Antivirus Toolkit Desactivar y Activar la... es.kioskea.net/faq/sujet-2555-eliminar-el-virus-virut
Cómo eliminar el virus Conficker / Downadup / KidoÍndice: Qué es el virus Conficker Cómo evitar infectarse con Conficker Desinfectar un PC infectado por Conficker Preliminares Eliminar una infección Qué es el virus Conficker Conficker (conocido también con el nombre de Downup,... es.kioskea.net/faq/sujet-2851-como-eliminar-el-virus-conficker-downadup-kido
Virus y Malwares ... El truco para eliminarlosGran cantidad de virus, troyanos, spywares y malwares circulan en la web. Estos cambian la página de inicio de Internet Explorer (o en algunos casos impiden cambiarla), provocan la aparición de pantallas no deseadas, y ni hablar del riesgos de que nos... es.kioskea.net/faq/sujet-199-virus-y-malwares-el-truco-para-eliminarlos
Resultados de El virus LovSan/Blaster
Como se puede borrar el virus autorun.inf ??? (Resuelto)Hola, disculpe pero podrian decirme como puedo borrar ese virus, habia encontrado que usando el attrib en ventana de dos se podia borrar pero no aun sigue... el antivirus avg 7.5 si me lo detecta pero no lo borra ni lo cura, y si lo mando a la bandeja... es.kioskea.net/forum/affich-19374-como-se-puede-borrar-el-virus-autorun-inf
Un virus me bloqueo el administrador de tarea (Resuelto)Hola, un virus me bloqueo el administrador de tareas, el modo seguro, el editor de registro y no puedo istalar ningún antivirus (intente instalar el spybot y nada). El problema se debe a un pendrive con un archivo que se copia automaticamente a la pc... es.kioskea.net/forum/affich-41822-un-virus-me-bloqueo-el-administrador-de-tarea
Eliminar el virus svchost (Resuelto)Hola, Como elimino el virus svchost? Por favor!!! Configuración: Windows XP Internet Explorer 6.0 es.kioskea.net/forum/affich-4559-eliminar-el-virus-svchost
Resultados de El virus LovSan/Blaster
Descargar Driver Audio Creative Sound Blaster Live! 5.1 DigitalAhora tienes el driver de Audio Creative Sound Blaster Live! 5.1 Digital. Para Windows XP/2000. Descárgalo, es GRATIS. Guarda tu driver en una carpeta (crea una carpeta con nombre igual al modelo), para tenerlo siempre ubicado, cuando lo... es.kioskea.net/telecharger/telecharger-1575-driver-audio-creative-sound-blaster-live-5-1-digital
Descargar Creative Sound Blaster PCI 128Descarga completamente gratis el driver para la tarjeta de sonido Creative Sound Blaster PCI 128 Para: Windows 2000/Me/XP es.kioskea.net/telecharger/telecharger-1437-creative-sound-blaster-pci-128
Descargar McAfee VirusScanMcAfee VirusScan Plus te permite evitar actividades malintencionadas en tu ordenador antes de que ya sea demasiado tarde. Este sistema de seguridad te brinda indicadores de seguridad de las paginas web, antisoftware espía, también un antivirus y un... es.kioskea.net/telecharger/telecharger-633-mcafee-virusscan
Resultados de El virus LovSan/Blaster
Facebook, afectado por un virusEl logotipo del portal de socialización Facebook, visto en una pantalla de ordenador, el 12 de diciembre de 2007 en Londres. El sitio de socialización Facebook está afectado por un virus bautizado 'Koobface', advirtió la firma especializada en... es.kioskea.net/actualites/facebook-afectado-por-un-virus-11023-actualite.php3
Resultados de El virus LovSan/Blaster
El virus SircamIntroducción al virus Sircam El virus Sircam (cuyo nombre de código es W32.Sircam.Worm@mm, Backdoor.SirCam o Troj_Sircam.a) es un gusano que se difunde por correo electrónico. Los usuarios que corren mayor riesgo son aquellos que utilizan Microsoft... es.kioskea.net/contents/virus/sircam.php3
El virus KlezIntroducción al virus Klez El virus Klez, que surgió a principios de 2002, todavía está en todas las redes y el riesgo que presenta es cada vez mayor debido a las nuevas variaciones que siguen apareciendo (como Klez.e, Klez.g, Klez.h, Klez.i, Klez.k,... es.kioskea.net/contents/virus/klez.php3
El virus BadTransIntroducción al virus BadTrans El virus BadTrans (cuyo nombre de código es W32.BadTrans.B o W32/BadTrans.B) es un gusano que se transmite por correo electrónico. Este tipo de virus puede utilizar también otro método para diseminarse: Las fallas de... es.kioskea.net/contents/virus/badtrans.php3
Resultados de El virus LovSan/Blaster