BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fijo

¡¡¡VIRUS!!!

1
Poia

HE LLEGADO A CASA Y ME ENCONTRADO QUE EL ORDENADOR SE REINICIABA CADA POCO TIEMPO, CINCO MINUTOS MAS O MENOS.

HE LLAMADO A DOS COLEGAS QUE TAMBIEN TIENEN R Y DEJAN EL ORDENADOR ENCENDIDO CON EL EMULE Y LES PASABA EXACTAMENTE LO MISMO QUE A MI.

ME SALIA UNA PANTALLA PEQUEÑA QUE PONIA:

NT AUTHORITY SYSTEM
SERVICIO DE LLAMADA A PROCEDIMIENTO REMOTO (RPC) TERMINO DE FORMA INESPERADA

Y ME PONIA UNA CUENTA ATRAS DE 1 MINUTO Y SE REINICIABA SOLO.

NO TENGO NI IDEA DE LO QUE PUDO SER, LE PASE EL ANTIVIRUS Y ME ENCONTRO UN VIRUS QUE ESTABA UBICADO EN: D:\WINDOWS\system32\H@tKeysH@@k.DLL

AHORA PARECE QUE YA HA PARADO PERO NO TENGO NI IDEA QUE ERA NI POR QUE HA SIDO.

SI SABEIS ALGO RESPONDERME, OS LO AGRADECERE DE CORAZON.

UN SALUDO

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
janesco

enlace
saludos :)

🗨️ 2
Poia

GRACIAS POR RESPONDERME TAN RAPIDO

UN SALUDO

🗨️ 1
BocaDePez

de hecho solo hay que cerrar un puerto pero no recuerdo cual

quetzal

Desde hoy a mucha gente en toda España le sucede eso, sobretodo a los usuarios con Windows XP. Bien, el problema, esta en un exploit que tienen los Windows XP, 2000 y 2003 Server, los parches los tienes aqui (ambos son para los que tienen su Windows en Español):

Win XP: (link roto)
Win2003: download.microsoft.com/download/2/6/0/26…-x86-ESN.exe

Este problema se pudo solucionar si la gente hiciera mas caso a eso del "Windows Update" y meter toda cuanta actualizacion contra problemas de seguridad hay... yo lo he hecho y sin problemas.. este parche tb lo puedes encontrar en Windows Update, solo que no se con que nombre.

Para +info sobre este "exploit": (link roto)

🗨️ 7
quetzal

Al parecer en muchos sitios dicen que es un "gusano", que se aprovecha del exploit... :(

🗨️ 2
trompa

Yo le hacia caso hasta que el antivirus me detecto un virus en las actualizaciones descargadas y ma puso la mitad de las movidas en cuarentena, con lo que me jodio todo

🗨️ 1
M1Gu2L

Pues a saber que pasó ahí, porque tengo todas las actualizaciones de Windows Update en mi disco duro listas para instalar y estan todas limpias.

BocaDePez

Gracias por este mensaje ante todo y saludos a todos.
Esto ha sido una putada muy grande por lo menos para mi :D porque me ha cascado los dos equipos que tengo en casa, de modo que me ha tocaddo formateo al canto. De todos modos el motivo de este mensaje es avisar que el parche de acualizacion que nos indica el amigo aqui arriba (que supongo que sera efectivo porque no he vuelto a tener problemas) tiene un bug para los usuarios que tenemos redes internas.
El parche se ha cargado lal configuracion de la LAN que tenia en casa.
No es que sea un drama para nadie, pero me parecio conveniente avisarlo para que no haya sustos.
Lo unico que hay que hacer es volver a asignar las IP's en el caso de los que usemos un hub como es el mio y volver a configurar los servicios locales de acceso a carpetas y conexiones a internet. O sea, reconfigurar la red.
Hala, asi da gusto. He visto los mensajes y me parece estupendo que nos ayudemos en todo lo que podamos.
Saludos

🗨️ 2
quetzal

Vaya, lo he instalado en los otros dos PCs de casa que tienen Windows XP y estan conectados al mio mediante un HUB... y la LAN sigue funcionando.. pos no se la verdad!

🗨️ 1
JamesHetfield

vcespon.web1000.com/404.html

Aqui os explica lo q es y teneis los links de parches para los windows afectados, también hay un programilla q elimina el troyano de los cojones

Saludos :-P

BocaDePez

Tal como avanzamos ayer por la noche en un boletín de urgencia, se está
propagando con rapidez un gusano que ataca los ordenadores que utilizan
los sistemas operativos Windows (las versiones Windows NT 4.0, Windows
2000, Windows XP y Windows Server 2003).Este gusano se aprovecha de una
vulnerabilidad recientemente descubierta en la interfaz de peticiones a
procedimientos remotos (Remote Procedure Call, RPC) de Windows.

El verano del 2003 será recordado por dos hechos en los que la velocidad
de propagación ha sido un factor clave: la oleada de incendios
forestales y el gran número de usuarios que se ven forzados a reiniciar
sus PC debido a la distribución alcanzada por el gusano W32/Blaster.

W32/Blaster utiliza una vulnerabilidad presente en la interfaz RPC de
Windows, descrita a mediados del pasado mes de julio. Esta
vulnerabilidad permite a un atacante remoto (en este caso, el gusano)
obtener el control completo del sistema vulnerable y la ejecución de
código arbitrario.

El gusano dispone de un algoritmo para generar los rangos de direcciones
IP donde intenta localizar nuevos sistemas vulnerables en los que
intentará propagarse. Este algoritmo está pensado para aumentar las
probabilidades de atacar sistemas situados en redes cercanas.

Para cada dirección IP obtenida, el gusano analiza las 20 direcciones IP
siguientes, intentando establecer una conexión en el puerto 135/tcp. Si
la conexión es satisfactoria, el gusano utilizado dos exploits
diferentes para intentar infiltrarse en el sistema remoto. El primero de
estos exploits sólo funciona si el sistema remoto ejecuta Windows 2000
mientras que el segundo es válido en el caso de que el sistema remoto
utilice Windows XP.

Debido a que el gusano no intenta determinar que versión de Windows
utiliza el sistema remoto, sino que lanza uno u otro exploit de forma
aleatoria, en el momento de enviar el código del exploit puede provocar
la detención inesperada del proceso SVCHOST.EXE en el sistema atacado, l
o que provocará que el sistema se vuelva inestable. En estos casos, la
infección no será satisfactoria, pero el sistema atacado puede quedar
inoperativo.

La función del exploit utilizado es abrir una sesión del intérprete de
órdenes de Windows, asociada al puerto 4444/tcp. Dentro de esta sesión,
el gusano utiliza la utilidad tftp para transferir el código del gusano
al ordenador recién atacado.

Una vez ha conseguido entrar en un ordenador vulnerable, el gusano añade
una entrada en el registro para asegurar su ejecución automática en el
momento en que se reinicie el sistema operativo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"windows auto update"="msblast.exe"

Por otra parte, el gusano también verifica la fecha del sistema. En el
caso de que el día del mes sea igual o posterior a 16, empezará a enviar
una gran cantidad de tráfico (paquetes de 40 bytes enviados cada 20
milisegundos) hacia el puerto 80/tcp de windowsupdate.com. La acción
combinada de un gran número de máquinas infectadas puede tener como
efecto un ataque distribuido de denegación de servicio contra el
servicio de actualizaciones de software de Microsoft.

Eliminación del gusano

Para eliminar manualmente el gusano de un ordenador infectado deben
realizarse los siguientes pasos:

1. Utilizar el administrador de tareas de Windows (accesible mediante la
combinación de teclas Control-Alt-Majús-Esc) para finalizar la ejecución
del proceso MSBLAST.EXE

2. Borrar el archivo MSBLAST.EXE del directorio de sistema de Windows

3. Utilizar el editor de registro para borrar la entrada añadida en el
registro
(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Auto Update).

4. Reiniciar la máquina

Adicionalmente diversos fabricantes de programas antivirus han publicado
herramientas para realizar esta eliminación de forma automática. Algunas
de estas herramientas son

ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
(link roto)
broadcom.com/support/security-center

No obstante, tal como ya indicamos en nuestro boletín de ayer, la mejor
prevención pasa por evitar la entrada del gusano. Para ello es
importante aplicar la actualización publicada por Microsoft que elimina
la vulnerabilidad RPC de Windows. Esta actualización está disponible en
WindowsUpdate.com o bien descargando el parche específico para cada
versión de Windows (consultar el "una-al-día" del pasado 18 de julio
para las URL de estos parches).