Virus Ms-Blaster

Hace ya tiempo Microsoft anunciaba [microsoft.com] una grave vulnerabilidad denominada RPC DOM en los sistemas Windows NT/2000/XP/2003. Por entonces los expertos en seguridad ya preveían algún gusano que explotase dicha falla. No ha tardado mucho, aquel mismo lunes el gusano Blaster entraba en escena valiéndose de esta vulnerabilidad. La principal manifestación o síntoma que podemos notar son los constantes reinicios de nuestra computadora. ¿Cómo actua? ¿Cuál es su finalidad? ¿Cómo ver si estamos infectados? ¿Cómo prevenirlo? ¿Cómo librarnos de él? 1. ¿Cómo actua? El gusano rastrea IP’s en busca de sistemas operativos Windows (sólo versiones NT 4.0 / NT 4.0 Terminal Services Edition / 2000 / XP / Server 2003) con el acceso permitido al puerto 135/TCP. Una vez localizada la futura victima hace uso de la reciente vulnerabilidad “Desbordamiento de Búfer en RPC DCOM” que Windows anunciaba [microsoft.com] el 16 de Julio. Acto seguido utiliza el puerto 4444/TCP y abre una sesión TFTP con un shell remota, desde donde descarga los binarios de Blaster bajo el nombre de fichero msblast.exe. Este se suele descargar al directorio C:WindowsSystem32 o C:WINNTSystem32 (dependiendo del sistema operativo). Ocupa 6176 Bytes.