Microsoft Security Update

El Equipo de Seguridad de los Servicios de Soporte de Productos de Microsoft emite esta alerta para informar a los clientes sobre un nuevo gusano llamado W32.Blaster.Worm que se está propagando en la naturaleza. Este virus también es conocido como: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). Las mejores prácticas, como la aplicación del parche de seguridad MS03-026, deberían evitar la infección de este gusano.

Este gusano escanea un rango aleatorio de IP para buscar sistemas vulnerables en el puerto TCP 135. El gusano intenta explotar la vulnerabilidad DCOM RPC parcheada por MS03-026.

Una vez que el código del exploit es enviado a un sistema, descarga y ejecuta el archivo MSBLAST.EXE desde un sistema remoto vía TFTP. Una vez ejecutado, el gusano crea la clave de registro: HKEY_LOCAL_MACHINE\NSOFTWARE\NMicrosoft\NWindows\NCurrentVersion\NEjecutar actualización automática de windows = msblast.exe ¡Sólo quiero decir LOVE YOU SAN!!!

Síntomas del virus: Algunos clientes pueden no notar ningún síntoma. Un síntoma típico es que el sistema se reinicie cada pocos minutos sin que el usuario intervenga. Los clientes también pueden ver:

• Presencia de archivos TFTP* inusuales.
• Presencia del archivo msblast.exe en el directorio WINDOWS SYSTEM32

Para detectar este virus, busque msblast.exe en el directorio WINDOWS SYSTEM32 o descargue la última firma de software antivirus de su proveedor de antivirus y analice su máquina.