Hola Mariana, todo parece que tu pc tiene el gusano blaster.
W32/Lovsan.A (Blaster). Utiliza la falla en RPC
Nombre: W32/Lovsan.A (Blaster)
Tipo: Gusano de Internet, caballo de Troya
Alias: W32/Lovsan.worm, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm, Win32.Poza, WORM_MSBLAST.A, W32/Blaster-A, Win32/Lovsan.A, Poza, Win32.Poza, Blaster
Fecha: 11/ago/03
Plataforma: Windows 2000, XP
Reportado por: varios
Tamaño: 6,176 bytes
Fuente: http://www.vsantivirus.com
Reparación automática para todas las versiones
IMPORTANTE: La reparación (manual y automática), se ofrece solo como una forma segura de acceder a nuestros archivos en forma temporal, inclusive para poder realizar algunos respaldos de información que no hayamos hecho antes de la infección. Lamentablemente la infección con el gusano Lovsan amerita acciones más drásticas, como formatear y reinstalar el sistema operativo. Estas razones se explican exhaustivamente en el siguiente enlace de "Preguntas frecuentes sobre el Lovsan (Blaster)", "¿Porqué formatear después del Lovsan (Blaster)?", http://www.vsantivirus.com/faq-lovsan.htm#11
Herramienta de Kaspersky Antivirus
Descargue "CLRAV" de este enlace, donde hay instrucciones:
http://www.vsantivirus.com/util-clrav.htm
Copyright (C) Kaspersky Lab 2000-2003. All rights reserved.
Herramienta de F-Secure Corporation (actualizada 2/set/03)
Descargue "f-lovsan.zip" de este enlace, descomprímalo y ejecute f-lovsan.exe:
http://www.videosoft.net.uy/f-lovsan.zip (47 Kb)
Copyright (c) 2003, F-Secure Corporation. All rights reserved.
Herramienta de Symantec
Descargue la utilidad "FixBlast.exe" (164 Kb) y ejecútela en su sistema:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
Copyright (C) Symantec 2003.
Herramienta de Panda Software
Descargue "Pqremove.com" de este enlace (1.2Mb) y ejecútelo en su sistema:
http://updates.pandasoftware.com/pq/gen/blaster/pqremove.com
Copyright (C) Panda Software 2003.
Vulnerabilidad en RPC (Remote Procedure Call)
Este troyano se aprovecha de un desbordamiento de búfer en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.
Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).
Descarga y ejecute el parche correspondiente (MS03-026) desde el siguiente enlace:
Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm
IMPORTANTE
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
También instale los parches mencionados más adelante.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano.
Activar cortafuegos de Windows XP (Internet Conexión Firewall)
NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF (Internet Conexión Firewall) o viceversa.
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.
2. Pinche con el botón derecho del mouse sobre "Conexión de Red de Area Local" y seleccione Propiedades.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet".
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Otras versiones:
W32/Lovsan.B (Blaster). Utiliza "penis32.exe"
http://www.vsantivirus.com/lovsan-b.htm
W32/Lovsan.C (Blaster). Utiliza "teekids.exe"
http://www.vsantivirus.com/lovsan-c.htm
W32/Lovsan.D (Blaster). Utiliza "mspatch.exe"
http://www.vsantivirus.com/lovsan-d.htm
W32/Lovsan.E (Blaster). Utiliza "mslaugh.exe"
http://www.vsantivirus.com/lovsan-e.htm
W32/Lovsan.F (Blaster). Utiliza "enbiei.exe"
http://www.vsantivirus.com/lovsan-e.htm
W32/Lovsan.G (Blaster). Utiliza "enilora.exe"
http://www.vsantivirus.com/lovsan-g.htm
Más información:
Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm
Mayor información:
http://www.microsoft.com/security/incident/blast.asp
Saludos. |
