Spanish
 sitios mundiales
productos
compras en Symantec
servicio y soporte
security response
downloads
socios de negocios
acerca de Symantec
búsqueda
comentarios


©1995-2009 Symantec Corporation.
Todos los derechos reservados.

 Nota Legal
Política de Privacidad
actualizaciones de seguridad

W32.Blaster.Worm

Categoría 2
Descubierto el: 11/08/2003
Actualizado por última vez el: 08/11/2006

Debido a la disminución en el número de notificaciones recibidas de esta amenaza, Symantec Security Response ha cambiado de Categoría 3 a Categoría 2 el nivel de esta amenaza a partir del 26 de febrero del 2004.
W32.Blaster.Worm es un gusano que explota la vulnerabilidad de DCOM RPC (llamada remota de procedimientos descrita en Microsoft Security Bulletin MS03-026, este recurso esté en inglés) utilizando el puerto 135 del protocolo TCP. El gusano sólo afecta equipos con Windows 2000 y Windows XP. Mientras que los servidores con Windows NT y Windows 2003 son vulnerables (si no son actualizados con el parche), el gusano no cuenta con el código para replicarse en estos sistemas. Este gusano intenta descargar el archivo msblast.exe al directorio %WinDir%\system32 y ejecutarse. El gusano no tiene funciones de envío masivo de correos electrónicos.

Para mayor información y como sitio alternativo para descargar el parche de Microsoft, se tiene disponible en el documento "What You Should Know About the Blaster Worm and Its Variants."

Los usuarios deben de bloquear el acceso al puerto 4444 TCP en la capa de firewall. Incluso deberán bloquear los siguientes puertos, si no utilizan las aplicaciones listadas:

  • Puerto 135 TCP, "DCOM RPC"
  • Puerto 69 UDP, "TFTP"

Este gusano también tratará de realizar una negación de servicio (DoS) en windowsupdate.com. este es un intento para evitar que usted aplique el parche en su equipo y así cancelar la vulnerabilidad de DCOM RPC.

Haga clic aquí para obtener más información sobre la vulnerabilidad que está siendo explotada por el gusano y para encontrar que productos de Symantec pueden ayudar a amortiguar los riesgos de esta vulnerabilidad.

NOTA: Esta amenaza será detectada con las definiciones de virus:
  • Versión: 50811s
  • Número de secuencia: 24254
  • Versión extendida: 8/11/2003, rev. 19

Symantec Security Response ha desarrollado una herramienta para limpiar las infecciones causadas por W32.Blaster.Worm.

W32.Blaster.Worm Webcast
Se ha proporcionado el webcast que detalla estrategias para mitigar y reparación, así como una descripción detallada del ataque de DsO.
    http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63 (este recurso está en inglés).

    También conocido como: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
    Tipo: Worm
    Longitud de la infección: 6,176 bytes
    Sistemas afectados: Windows 2000, Windows NT, Windows Server 2003, Windows XP
    Sistemas no afectados: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
    Referencias CVE: CAN-2003-0352

    protección
  • Definiciones de virus (LiveUpdate™ Weekly)

    • 11/08/2003
  • Definiciones de virus (Intelligent Updater)

    • 11/08/2003

    evaluación de peligrosidad

    Salvaje

    Datos de la amenaza
    Baja Media Media

    Salvaje:
    Baja

    Daño:
    Media

    Distribución:
    Media

    Daño

    Distribución

    detalles técnicos

    Cuando W32.Blaster.Worm se ejecuta, realizará las siguientes tareas:

    1. Genera un Mutex llamado “BILLY”. Si existe el mutes, el gusano saldrá.
    2. Añade el valor:

      "windows auto update"="msblast.exe"

      a la llave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      para poder ejecutarse cuando se inicie Windows.
    3. Calcula una dirección IP aleatoria A.B.C.0, en donde A, B, y C son valores aleatorios entre 0 y 255.
      • El 40% de las veces, la dirección IP se genera de la forma A.B.C.0, donde A y B son iguales a las dos primeras partes de la dirección IP de la computadora infectada.

        C es calculada con la tercera parte de la dirección IP del sistema infectado; sin embargo, el 40 % de las veces el gusano verifica si C es mayor a 20. De ser así, se le resta un valor aleatorio menor a 20. Una vez que la dirección IP es calculada, el gusano tratará de localizar y explotar la máquina con la dirección A.B.C.0.

        El gusano incrementará las partes con 0 de la dirección IP por 1, intentando encontrar y explotar otras computadoras basándose en la nueva dirección IP, hasta llegar a 254.
      • Con una probabilidad de 60%, la dirección IP generada es completamente aleatoria.
    4. Envía información en el puerto 135 de TCP que pueden explotar la vulnerabilidad de DCOM RPC. El gusano envía 2 tipos de información: tanto para afectar equipos con Windows XP o Windows 2000. En un 80% de las veces, la información para Windows XP será enviada y en un 20 % de loas veces para Windows 2000.

      NOTAS:
      • Esto implica que la subred local se saturará con peticiones del puerto 135.
      • Debido a la naturaleza aleatoria en que construye la información el gusano, se pueden provocar conflictos en las computadoras si se envía información incorrecta.
      • Mientras W32.Blaster.Worm no tenga la posibilidad de dispersarse en equipos con Windows NT o Windows 2003 Server, las computadoras a las que no se las haya instalado el parche y que tengan estos sistemas operativos se pueden bloquear debido al conflicto que causa el gusano al tratar de enviar información. Desde luego si se copia y ejecuta manualmente el gusano en un equipo con estos sistemas operativos, el gusano se instalará y dispersará.
      • Si el servicio RPC entra en conflicto, el procedimiento por defecto bajo Windows XP y Windows Server 2003 es reiniciar el equipo. Para deshabilitar esta característica, vea el paso uno de las instrucciones de las instrucciones de eliminación manual en la parte inferior de este documento.
    5. El gusano crea el archivo oculto cdm.exe que comparte vía remota lo que escucha el en el puerto 4444 TCP, permitiendo un posible ataque remoto en el equipo infectado.
    6. Escucha el puerto 69 UDP. Cuando recibe una petición de una computadora en la que fue posible conectarse aprovechando la vulnerabilidad de DCOM RPC, mandará de regreso el msblast.exe y solicitará la ejecución del gusano.
    7. Si la fecha actual está entre los últimos días del mes, es decir a partir del 16 al final del mes, correspondiente a los meses de enero a agosto o si la fecha es correspondiente a los meses de septiembre a diciembre desarrollará una negación de servicio (DoS) en Windows Update que puede llevar a cabo bajo las siguientes condiciones:
      • El gusano se ejecuta en una computadora con Windows XP que fue infectada o reiniciada durante el periodo de contaminación.
      • El gusano se ejecuta en una computadora con Windows 2000 que fue infectada durante el periodo de contaminación y no ha sido reiniciada desde la contaminación.
      • El gusano se ejecuta en una computadora con Windows 2000 que ha sido reiniciada desde que fue infectada, durante el periodo de infección y el usuario de inicio de sesión tiene derechos de Administración.
    8. El tráfico DoS tiene las siguientes características
      • Es un detector de tráfico y está en el puerto 80 de windowsupdate.com.
      • Intenta enviar 50 paquetes RPC y 50 paquetes HTTP cada segundo.
      • Cada paquete es de 40 bytes de longitud.
      • Si el gusano no encuentra una entrada del DNS para windowsupdate.com, utiliza una dirección de destino de 255.255.255.255.
      Algunas característcas corregidas de TCP y de cabeza IP son:
        • Identificación IP = 256
        • Tiempo de vida = 128
        • Dirección IP fuente = a.b.x.y, donde a.b son la ip del host y x.y son aleatorias. En algunos casos a.b. son aleatorios.
        • Destino IP address = dns rresolución de "windowsupdate.com"
        • Puerto fuente TCP entre 1000 y 1999
        • Puerto destino TCP = 80
        • Número de secuencia TCP siempre tiene los dos primeros bytes en 0; los 2 últimos bytes son aleatorios.
        • Tamaño TCP Window= 16384

      El gusano tiene el siguiente texto que nunca es visible.

      I just want to say LOVE YOU SAN!!
      billy gates why do you make this possible ? Stop making money and fix your software!!


    Atenuación de la ejecución de DoS
    Con fecha del 25 de agosto del 2003 Microsoft ha retirado el registro del DNS para windowsupdate.com. Mientras que la porción de DoS del gusano no afectará la característica de actualizarción de Microsoft Windows los administradores de red pueden seguir las siguieentes recomendaciones para atenuar la negación de serivicio DoS:
    • Cambie la ruta de windowsupdate.com a una dirección interna especial. Esto alertará a los equipos infectados si usted tiene un servidor que escucha el tráfico de SYN.
    • Configurar reglas anti-spoofing en los routers si aún no están implementadas. esto prevendrá un alto porcentaje de paquetes que salen de la red. Usar el uRPF o la salida ACLs será altamente efectivo.

    Symantec Client Security
    El 15 de agosto del 2003, Symantec liberó firmas IDS por medio de LiveUpdate para detectar la actividad de W32.Blaster.Worm.

    Symantec Gateway Security
    • El día 12 de agosto del 2003 Symantec lanzó una actualización para Symantec Gateway Security 1.0.
    • La tecnología application inspection firewall de Symantec protege contra esta vulnerabilidad de Microsoft, bloqueando los puertos TCP arriba mencionados por defecto. Para una máxima seguridad, la 3a generación de application inspection hace uso del bloque inteligente por medio de un túnel de tráfico de DCOM sobre los canales HTTP proporcionando una capa adicional adicional de disponibilidad fácil en la mayoría de los firewalls de filtrado de red.

    Symantec Host IDS
    El día 12 de agosto del 2003 Symantec lanzó una actualización para Symantec Host IDS 4.1.

    Intruder Alert
    El día 12 de agosto del 2003 Symantec lanzó Intruder Alert 3.6 W32_Blaster_Worm Policy.

    Symantec Enterprise Firewall
    SLa tecnología application inspection firewall de Symantec protege contra W32.Blaster.worm, bloqueando todos los puertos TCP arriba mencionados por defecto.

    Enterprise Security Manager
    Symantec Security Response puso disponible Response Policy para esta vulnerabilidad el 17 de julio del 2003.

    Symantec Vulnerability Assessment
    Symantec Security Response dió a conocer que detecta y reporta esta vulnerabilidad desde el 17 de julio del 2003. Haga clic aquí para más detalles.

    Symantec NetRecon
    Symantec NetRecon puede identificar equipos que son susceptibles a W32.Blaster.Worm por medio de la vulnerabilidad de "Microsoft DCOM RPC Buffer Overflow". Vea Symantec NetRecon SU6 para más detalles.

    Symantec ManHunt
    • La tecnología de Symantec ManHunt, Protocol Anomaly Detection, detecta la actividad asociada a esta amenaza como "Portsweep." Aunque ManHunt puede detectar la actividad asociada con la tecnología de Protocol Anomaly Detection technology, usted puede hacer uso de la firma personalizada "Microsoft DCOM RPC Buffer Overflow", liberada en Security Update 4, para así identificar en forma precisa cuando se envían los datos para explotar esta vulnerabilidad.
    • Security Update 5 ha sido lanzado para proveer firmas específicas para W32.Blaster.Worm, para así incluir más detalles de la detección de W32.Blaster.Worm.
    • La tecnología de Symantec ManHunt Protocol Anomaly Detection detecta la actividad asociado con el negación de sericio SYN flood. Security Response ha creado la firma personalizada para ManHunt 3.0, lanzada en Security Update 6, para detectar el ataque específico de Blaster DDoS Request.

    recomendaciones

    Symantec Security Response invita a todos los usuarios y administradores a adherirse a las siguientes "mejores prácticas" básicas para su seguridad:

    • Desconecte y elimine todos los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como clientes de FTP, telnet y servidores de web. A través de estos servicios penetran buena parte de los ataques. Por lo tanto, si se eliminan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
    • Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
    • Mantenga siempre el parche actualizado, sobre todo en equipos que ofrezcan servicios públicos, a los que se puede acceder a través de algún firewall como, por ejemplo, servicios HTTP, FTP, de correo y DNS.
    • Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños cuando un equipo es atacado o, al menos, limita esta posibilidad.
    • Configure su servidor de correo electrónico para que bloquee o elimine los mensajes que contengan archivos adjuntos que se utilizan comúnmente para extender virus, como archivos .vbs, .bat, .exe, .pif y .scr.
    • Aísle rápidamente los equipos que resulten infectados para evitar que pongan en peligro otros equipos de su organización. Realice un análisis posterior y restaure los equipos con medios que sean de su confianza.
    • Instruya a sus empleados para que no abran archivos adjuntos a menos que los esperen. El software descargado desde Internet no debe ejecutarse, a menos que haya sido analizado previamente en busca de virus. Basta únicamente con visitar un sitio web infectado para que pueda infectarse si las vulnerabilidades del explorador de web no han sido correctamente corregidas con parches.
    instrucciones para la eliminación

    Eliminación de W32.Blaster.Worm por medio de la herramienta
    Symantec Security Response ha desarrollado una herramienta de eliminación de W32.Blaster.Worm. Esta es la forma más sencilla de eliminar las infecciones causadas por esta amenaza y debería de utilizarse en primera instancia.

    Eliminación manual
    Como una alternativa a la herramienta de eliminación, usted puede eliminar de forma manual esta amenaza.

    Las instrucciones siguientes corresponden a todos los productos Symantec Antivirus incluyendo los corporativos Symantec Antivirus y la línea de productos Norton Antivirus para consumidor.
    1. Restablecer la conexión a Internet.
    2. Finalice los procesos Troyanos.
    3. Actualice las definiciones de virus.
    4. Ejecute un análisis completo del sistema y elimine todos los archivos que se detecten como W32.Blaster.Worm.
    5. Corrija los cambios que el Troyano hizo en el registro.
    6. Obtenga la actualización de Microsoft para corregir la vulnerabilidad de DCOM RPC.

    Para más detalles sobre cómo llevar a cabo estos pasos, lea las instrucciones a continuación.

    1. Restablecer la conexión a internet
    En muchos casos tanto para Windows 2000 y Windows XP, cambiando la configuración del servicio de RPC (Remote Call Procedure) le puede permitir conectarse a internet sin que se apague el equipo. Siga uno de estos pasos:
      1. Haga clic en Inicio > Ejecutar. El cuadro de diélogo de Ejecutar aparece.
      2. Escriba:

        SERVICES.MSC /S

        en la línea, y haga clic en Aceptar. La ventana de Servicios se presentará.
      3. En el panel del lado derecho, busque Llamada a procedimiento remoto (RPC).
        ADVERTENCIA: No confunda con el servicio de Localizador de llamadas a procedimiento remoto (RPC).
      4. Haga clic con el botón derecho sobre Llamada a procedimiento remoto (RPC) y seleccione Propiedades.
      5. Haga clic sobre la pestaña Recuperación.
      6. Usando el menú desplegable, cambie Primer error, Segundo error y Siguiente error a "Reiniciar el servicio".
      7. Haga clic en "Aplicar" y "Aceptar".

        ADVERTENCIA: Asegúrese de restaurar esta configuración, después de haber removido el virus.
    2. Finalice procesos Troyanos
      Reinicie el equipo en Modo a prueba de fallos. Todos los sistemas operativos de 32 bits de Windows, a excepción de Windows NT, se pueden reiniciar en modo A prueba de fallos. Si necesita instrucciones para hacerlo, consulte el documento Cómo iniciar su equipo en Modo seguro.

      Windows NT/2000/XP
      Para finalizar el proceso troyano:
      1. Presione una vez CTRL+ALT+SUPR.
      2. Haga clic en Administrador de tareas.
      3. Haga clic en la pestaña Procesos.
      4. Haga clic dos veces en el encabezado de columna Nombre de imagen para ordenar los procesos alfabéticamente.
      5. A continuación, busque el archivo msblast.exe por la lista.
      6. Cuando lo encuentre, haga clic en él y presione el botón Terminar proceso.
      7. Salga del Administrador de tareas.
    3. Para actualizar definiciones de virus
    Symantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
    • Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
    • Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
      Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos d definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

    4. Para buscar y eliminar los archivos infectados
    Inicie su programa de antivirus Symantec y asegúrese de que esté configurado para analizar todos los archivos.
    1. Ejecute una búsqueda completa de virus.
    2. Sí se detecta algún archivo infectado por W32.Blaster.Worm, haga clic en Eliminar.

    5. Para corregir los cambios hechos en el Registro de Windows

    ADVERTENCIA    : Symantec recomienda insistentemente que se haga una copia de respaldo del Registro antes de efectuar cualquier cambio. La realización de cambios incorrectos en el registro puede ocasionar la pérdida definitiva de datos o daños en los archivos. Modifique sólo las claves que se indiquen. Las instrucciones para hacer la copia se detallan en el documento Cómo crear una copia de respaldo del Registro de Windows.
      1. Haga clic en Inicio y, después, en Ejecutar. (Aparecerá el cuadro de diálogo Ejecutar.)
      2. Escriba regedit.

        A continuación, haga clic en Aceptar. (Se abrirá el Editor del Registro.)
      3. Desplácese hasta la clave:

        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      4. En el panel derecho, elimine el valor:

        windows auto update
      5. Salga del Editor del Registro.


    6. Obtenga la actualización de Microsoft para corregir la vulnerabilidad de DCOM RPC
    W32.Blaster.Worm es un gusano que explota la vulnerabilidad de DCOM RPC por medio del puerto TCP 135 para infectar su PC. El W32.Blaster.Worm también trata de desarrollar una negación de servicio DoS en Microsoft Windows Update Web server (windowsupdate.com) por medio de su PC. Para corregir esto, es importante obtener la actualización Microsoft Hotfix en: Microsoft Security Bulletin MS03-026. (este recurso está en inglés).

    Historial de revisiones:

    • El 26 de Febrero del 2004: Se cambio a categoría 2 el nivel de esta amenaza en función a la disminución del número de envíos.

    Escrito por: Douglas Knowles, Frederic Perriot, Peter Szor