Msblast.exe
Teekids.exe
Penis32

b. Su computadora se reinicia en forma aleatoria unos cuántos minutos después de iniciar su conexión a Internet.

c. Aparecen mensajes de error inesperados cuando utiliza MS Word, Excel u Outlook.

d. Aparecen mensajes de fallas provocadas por el archivo Svchost.exe

e. El sistema muestra errores de falla con el servicio RPC con un mensaje como el siguiente:

Apagar el sistema

Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
Windows debe reiniciar ahora porque el
servicio Llamada a procedimiento
remoto (RPC) terminó de forma inesperada

3. ¿Qué daño puede causar Lovsan a mi PC?

Este gusano no provoca ningún daño a los archivos locales de las computadoras infectadas, tampoco borra o cambia datos en las mismas.

Lovsan afecta únicamente el servicio de Internet debido principalmente al excesivo tráfico que genera durante su intento de infección. Como resultado los canales de transmisión pueden saturarse y el servicio de Internet será lento e intermitente.

Adicionalmente, Lovsan contiene una rutina que se activaba a partir del sábado 16 de agosto, la cuál ejecutaba un ataque DDoS (Distributed Denial of Service o ataque distribuido de denegación de servicio), dirigido hacia el sitio de Windowsupdate.com. Se pretendía con ello que el servidor que provee parches de seguridad del sistema operativo Windows sufriera un colapso, dejando a los usuarios sin éste servicio.

Para evitarlo, Microsoft habilitó el siguiente enlace para las actualizaciones de sus productos (incluidos los parches que evitan el Lovsan).

http://windowsupdate.microsoft.com

4. ¿Cuáles versiones de Windows son vulnerables al ataque?

Las siguientes versiones de Windows son vulnerables al ataque del Lovsan:

• Windows NT 4.0 Server
• Windows NT 4.0 Terminal Server Edition
• Windows 2000
• Windows XP 32 bit Edition
• Windows XP 64 bit Edition
• Windows Server 2003 32 bit Edition
• Windows Server 2003 64 bit Edition

No son vulnerables Windows 95, 98 ni Me. Aún cuando un archivo infectado puede llegar a un equipo con cualquiera de estos sistemas, los mecanismos de infección no podrían activarse.

5. ¿Cómo puedo proteger mi computadora de éste gusano?

Usted debe seguir los siguientes pasos para minimizar el riesgo de infección con el Lovsan:

a. Actualizar su programa antivirus y no desactivarlo mientras este conectado a Internet.

b. Instalar un cortafuegos personal y bloquear los puertos 69, 135 y 4444 (cortafuegos como ZoneAlarm y otros, bloquean estos puertos sin necesidad de que usted lo deba indicar, si lo instala como se explica en nuestras páginas http://www.vsantivirus.com/za.htm).

c. Descargar y aplicar los parches recomendados por Microsoft para eliminar la vulnerabilidad RPC/DCOM que es utilizada para atacar la PC.

Recuerde que la descarga y aplicación de los parches de Microsoft son importantes ya que estos evitarán que su computadora sea atacada mediante la vulnerabilidad RPC/DCOM (boletín MS03-026, http://www.vsantivirus.com/vulms03-026-027-028.htm).

6. ¿Que es un cortafuegos y donde puedo obtenerlo?

Un cortafuegos es un programa especial que lo protege contra intrusos controlando la transferencia de datos entre Internet y su computadora. Un cortafuegos filtra programas y paquetes maliciosos. Además previene la conexión de aplicaciones del área protegida hacia Internet.

Para usuarios caseros recomendamos:

° Cortafuegos gratuitos para uso personal:

ZoneAlarm
http://www.vsantivirus.com/za.htm

Outpost Firewall
http://www.protegerse.com/outpost/

Kerio Personal Firewall
http://www.beeeeee.net/nautopia/kerio3.htm

En Windows XP, puede utilizar el cortafuegos integrado: Internet Connection Firewall (ICF)

Para activar ICF en Windows XP, siga estos pasos:

a. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.

b. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.

c. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".

d. Seleccione Aceptar, etc.

° Cortafuegos de pago:

Kaspersky Anti-Hacker
http://www.kaspersky.com/buyonline.html?chapter=964564

McAfee
http://us.mcafee.com/root/offer/default.asp?id=4705&affid=
0&cid=&lpname=offer%5F470%2Easp

Symantec
http://www.symantec.com/sabu/nis/npf/

ZoneAlarm Pro
http://www.zonelabs.com/store/content/catalog/products/zap/zap_details.jsp

Tiny Personal Firewall
http://www.tinysoftware.com/home/tiny2?la=EN

Outpost Firewall
http://www.protegerse.com/outpost/

Kerio Personal Firewall
http://www.kerio.com/us/kpf_download.html

BlackICE PC Protection
http://blackice.iss.net/product_pc_protection.php

7. ¿Cómo instalo los parches de Windows?

Existe una nueva actualización de Microsoft para los parches que evitan la propagación del Lovsan, además de prevenir otros gusanos similares, y pueden ser descargados del siguiente enlace:

MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm

Solo necesita descargarlos y ejecutarlos en su equipo desconectado de Internet. Un asistente lo guiará durante el proceso de instalación.

8. No puedo descargar los parches de Microsoft porque mi computadora se reinicia constantemente.

En caso de que su computadora se reinicie en forma continua, lo mas probable es que esté infectada por el gusano Lovsan. En ese caso busque el archivo TFTP.EXE en el directorio de sistema de Windows y renómbrelo (generalmente C:\Windows\System32\ o C:\Winnt\System). También revise en el caché, en la siguiente carpeta (\Windows\System32\dllcache).

Después de aplicar los parches usted puede renombrar el archivo con su nombre original.

9. ¿Qué hago si mi computadora ya está infectada por el gusano Lovsan?

En este caso usted debe verificar que su antivirus esté actualizado y ejecutar un escaneo completo a todos sus discos.

Existen también varias herramientas específicas para la limpieza del gusano. La de Kaspersky Lab, es una utilería que localiza, desactiva y borra los archivos infectados de todos los discos, además restaura los archivos del directorio de sistema de Windows.

Puede descargar la utilería gratuita del siguiente enlace:

http://www.vsantivirus.com/util-clrav.htm

También puede encontrar otras herramientas, y un procedimiento de limpieza manual, en el siguiente enlace:

http://www.vsantivirus.com/lovsan-a.htm

En todos los casos, al finalizar la ejecución de las herramientas mencionadas, usted deberá ejecutar un escaneo completo con un antivirus al día y reiniciar su equipo.

10. Ya quité el gusano Lovsan pero mi computadora se vuelve a infectar.

Los procedimientos de limpieza, sirven justamente para eso, "limpian" o remueven el gusano del equipo infectado, pero no lo protegen de ataques posteriores. Usted deberá aplicar los parches de Microsoft, y seguir las recomendaciones ya explicadas (antivirus al día, cortafuegos, etc.).

11. ¿Porqué si he quitado el gusano, aún me piden que debo formatear mi equipo?

Esta es una de las preguntas que más nos hacen y que lamentablemente en muy pocos lugares hemos vista explicada, y ni siquiera aconsejada.

El problema no es el gusano, sino lo que permitió que el gusano ingresara a nuestras computadoras (ver "Lo que debería saber sobre la vulnerabilidad RPC/DCOM", http://www.vsantivirus.com/vul-rpc-dcom.htm).

El gusano es solo un aviso de que cualquier intruso pudo llegar a hacer lo que se le diera la real gana en nuestro equipo. La vulnerabilidad le brinda un acceso total al mismo, y aún sin utilizar el gusano, cualquiera que utilice uno de tantos "exploits" disponibles actualmente, podría haber dejado cualquier otra clase de "sorpresa" que seguramente se activará en el momento menos pensado (un exploit es un programa o método concreto que saca provecho de una falla o agujero de seguridad de una aplicación o sistema, generalmente para un uso malicioso de dicha vulnerabilidad).

Un intruso también pudo haber hecho cambios en el sistema, incluido el registro, de los que nunca sabríamos nada, hasta que fuera muy tarde. En el mejor de los casos, perderíamos toda la información de nuestros discos inesperadamente, que es lo mismo que decir, que ello ocurrirá cuando más los necesitemos.

Por otra parte, existen muchos programas maliciosos creados recientemente, que aún no son reconocidos por los antivirus. Si bien lo serán cuando se activen, siempre estaremos al borde de un abismo, y seguro no nos puede causar ninguna gracia pensar que nuestra computadora sería el "conejillo de indias" para el código malicioso.

Dicho de otro modo, sacando el Lovsan, y cerrando las puertas para que no nos vuelvan a infectar o a acceder a nuestro equipo como se explicó en los puntos anteriores, ni nos asegura que no quedan archivos maliciosos, ni tampoco que no se hayan hecho modificaciones que nos resulten perjudiciales en el futuro.

Incluso existe una versión del Lovsan que instala un troyano capaz hasta de espiarnos con nuestra propia Web-Cam, o escucharnos por el micrófono de nuestra tarjeta. Si bien este troyano es identificable por los antivirus actualizados, no es una garantía que existan otros, que también se hayan colado por la vulnerabilidad que permitió la infección del Lovsan (que por cierto, tampoco es el único gusano que se aprovecha de esta falla).

Tomemos la infección del Lovsan como una señal de alarma. Si ocurre, hay que seguir estos pasos:

a. Borrar el gusano como se indicó antes.

b. Respaldar la información importante (no los programas)

c. Formatear nuestros discos para asegurarnos de que el sistema está limpio realmente, y reinstalar el sistema operativo y todos los programas.

d. MUY IMPORTANTE: instalar el parche correspondiente, y activar un cortafuegos, además de mantener al día nuestros antivirus.


Agradecimientos: Kaspersky Lab México, http://www.avp.com.mx/


Actualizaciones:

16/ago/03 - Respuesta 11 (formateo)


Relacionados:

Sistema comprometido: "derribar y reconstruir"
http://www.vsantivirus.com/derribar-reconstruir.htm

W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm

W32/Lovsan.B (Blaster). Utiliza "penis32.exe"
http://www.vsantivirus.com/lovsan-b.htm

W32/Lovsan.C (Blaster). Utiliza "teekids.exe"
http://www.vsantivirus.com/lovsan-c.htm

Troj/Fresh.20.A. Troyano que "libera" a Lovsan.C
http://www.vsantivirus.com/fresh20-a.htm

Lo que debería saber sobre la vulnerabilidad RPC/DCOM
http://www.vsantivirus.com/vul-rpc-dcom.htm

Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm

Lovsan, Blaster o MSBlast. Una pesadilla anunciada
http://www.vsantivirus.com/ev12-08-03.htm

Una pieza más del dominó, o un simple espectador
http://www.vsantivirus.com/lz-domino.htm

Después de todo, es un simple gusano...
http://www.vsantivirus.com/apagon14-08-03.htm

Microsoft se prepara para el gran "ataque" del Blaster
http://www.vsantivirus.com/lz14-08-03.htm

La solución para descargar parches de Microsoft
http://www.vsantivirus.com/sol-winupdates.htm

Advierten sobre la segunda vulnerabilidad en RPC
http://www.vsantivirus.com/vul-rpc-ubizen.htm

MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm


Actualizaciones:

15/set/03 - Enlace a nuevos parches para vulnerabilidad RPC
2/may/04 - Modificaciones menores




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com