Recopilación de info sobre el xploit de Win

CeeC

Después de mucha gente preguntándome qué pasa y qué hacer he recopilado cierta info, para aquellos que les guste o quieran estar bien informados de lo sucedido.

Se trata de un fallo de seguridad (bug) de gran parte de los sistemas operativos Windows. Este bug se puede explotar y obligar al PC a que apague/reinicie el sistema (en la euskal fue lo que pasó). Pero en el día de hoy ha salido a la luz un worm (gusano) mejorado a otros predecesores que hace eso mismo de forma automática. Es un pequeño "virus" que se extiende rápidamente y aprovecha este fallo para "putear".

Al poco tiempo del anuncio del descubrimiento de xploit por parte de un grupo chino, y posteriormente de microsoft, se predecía un virus que se aprovecharía de este mismo. Ha "tardado" en salir, pero realmente muy pocos son los que tienen el SO actualizado, y en las corporaciones y grandes empresas más de lo mismo.

Podeis parchear vuestros Sistemas Operativos para evitar esto desde esta web:

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

Si quereis el link directo del parche para vuestro SO concreto, aquí teneis:

Wxp 32bits (el que tenemos casi todos) -> http://download.microsoft.com/download/6/6/0/660dd9a5-c7b4-4d62-9c1d-025b073c1c7b/WindowsXP-KB823980-x86-ESN.exe
Wxp 64bits -> http://download.microsoft.com/download/a/7/5/a75b3c8f-5df0-451b-b526-cfc7c5c67df5/WindowsXP-KB823980-ia64-ENU.exe
Wnt server -> http://download.microsoft.com/download/6/5/1/651c3333-4892-431f-ae93-bf8718d29e1a/Q823980i.EXE
Wnt terminal server -> http://download.microsoft.com/download/4/6/c/46c9c414-19ea-4268-a430-53722188d489/Q823980i.EXE
W2k -> http://download.microsoft.com/download/c/c/a/cca96cb3-cbda-4e9b-8c8e-c76505c48dfd/windows2000-kb823980-x86-esn.exe
W2k3 sv 32bits -> http://download.microsoft.com/download/8/f/2/8f21131d-9df3-4530-802a-2780629390b9/WindowsServer2003-KB823980-x86-ENU.exe
W2k3 sv 64bits -> http://download.microsoft.com/download/4/0/3/403d6631-9430-4ff6-a061-9072a4c50425/WindowsServer2003-KB823980-ia64-ENU.exe

Si no os da tiempo a bajaros el parche (conexión RTB módem) o a instalarlo:

  • Inicio->Configuración->Panel de control->Herramientas administrativas->Servicios
    -Buscais el servicio "llamada a procedimiento remoto (RPC). Boton derecho->propiedades
  • Vais a la pestaña "Recuperacion" y cambiais las tres primeras opciones de "reiniciar" a "no realizar ninguna accion". Aceptais y ya ta. No más reinicios, así que teneis tiempo de aplicar el parche.
  • Cuando termineis podeis restaurarlo si quereis.
  • (info tomada de un post de Disablez en http://www.media-vida.net/vertema.php?fid=17&tid=54072&pagina=4)

Info sobre el xploit:

http://www.vnunet.es/Actualidad/Noticias/Seguridad/Vulnerabilidades/20030718001
http://www.hispasec.com/unaaldia/1728

Info sobre el worm:

http://www.hispasec.com/unaaldia/1736
http://es.gsmbox.com/news/mobile_news/all/97002.gsmbox
http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=det&idvirus=40369

Editado

Por su parte Symantec Norton Antivirus ha sacado además de su correspondiente actualización ha colgado una pequeña utilidad para eliminarlo:

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Saludos.

Thx a la ayuda de Morph y la campanada de RaveN.

Frost

completísimo post si señor
vaya tardecita nos ha dado la mierda esta

S

el mejor parche ---> www.debian.org

Nisu

pos a mi no me pasa y tengo XP.. ya puse como prevenir estas cosas en otros posts

NeBs

Si es q tus post son la puta caña loko!! ya sean de felicitaciones o de info sobre Microsoft, jeje ahi keda esto compy! Saludines a la peña de DM

ketekojo

Por si interesa, en la pagina de Symantec hay un programa que te borra el gusano de tu ordenador si estas infectado, www.symantec.com y luego ir a SECURITY RESPONSE.

EDITADO: pongo el link, que se me olvido. Debeis bajarlo, iniciar en modo seguro y despues ejecutarlo.

http://securityresponse.symantec.com/avcenter/FixBlast.exe

Snake

Info de Panda sobre el VIRUS: http://www.pandasoftware.es/about/prensa/verNoticia.aspx?noticia=4024

Informacion detallada del virus: http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=40369

DarkSoldier

Con winXp k me bajo ?

CeeC

#8
Si tienes Wxp 32bit... en enlace de Wxp 32bit...
Si tienes Wxp 64bit... en enlace de Wxp 64bit...

CeeC

Symantec Norton Antivirus ha sacado además de su correspondiente actualización ha colgado una pequeña utilidad para eliminarlo:

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Usuarios habituales

  • CeeC
  • DarkSoldier
  • ketekojo
  • NeBs
  • Nisu
  • Soy_HeatoN
  • Frost