|
Virus
o gusano Win32: Blaster |
|
|
|
|
|
|
|
Win32: Blaster
es un verdadero gusano que no se propaga por e-mail,
pero explota una vulnerabilidad denominada
"saturación del búfer en interfaz RPC" que
también es conocido como DCOM / RPC y MS03-026.
Esta vulnerabilidad ha sido descubierta el 16 de julio
de 2003. La descripción detallada se puede encontrar
aquí.
Tenga en cuenta: Mayores sistemas Win9x no se ven
afectados por este gusano.
Win32: Blaster es 6176 bytes de longitud y es comprimido
por UPX. Cuando se ejecuta, el gusano utiliza un
algoritmo secuencial de barrido de direcciones IP al
azar con los puntos de partida. Las redes que rodean a
la infección de acogida son preffered por el algoritmo.
Win32: Blaster trata de encontrar otros hosts
vulnerables. Explora 20 hosts a la vez, intenta
conectarse al puerto 135 y verificar si la conexión es
exitosa. En caso afirmativo, trata diferentes DCOM
explota para infectar la máquina. Cuando el agujero de
seguridad se encuentra, el gusano copia a sí mismo en
los de acogida mediante TFTP (Trivial File Transfer
Protocol). Después de los archivos se copian en el
ordenador remoto con el nombre de msblast.exe, que se
inicia allí.
El gusano agrega la siguiente clave al registro:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \
Run \ windows auto update
por lo que el gusano se activa cada vez que Windows se
inicie.
El gusano contiene la carga útil que puede causar un
DDoS (Distributed Denial of Service) en el ataque
windowsupdate.com ordenador después del día 15 de
agosto de 2003. Hosts infectados con el Blaster enviará
enorme cantidad de paquetes hacia este equipo después
de esta fecha hasta el final de este año.
El gusano contiene el siguiente texto, pero no se
muestra:
Sólo quiero decir LOVE YOU SAN!
billy puertas ¿por qué hacer esto posible? Dejar de
hacer dinero y arreglar su software!
Como efecto secundario, el gusano puede hacer que el
obligado reiniciar el sistema operativo. El sistema
muestra una ventana de advertencia acerca de ello junto
con la cuenta regresiva de 60 segundos. El mensaje dice
que la reanudación fue causado por la autorización NT
\ System.
Supresión:
Para eliminar este gusano, por favor utilice nuestro !
El limpiador del virus. Antivirus
gratis Pero asegúrese de que también actualice
los datos de su sistema de Windows, de lo contrario el
gusano puede volver
|
|
|
|