|
Preguntas frecuentes sobre el
Lovsan (Blaster)
[Basado en el FAQ de Kaspersky Lab,
proporcionado por Kaspersky Lab México]
1. ¿Cuál
es la diferencia entre el gusano Lovesan, Lovsan, Blaster,
Msblast y Poza?
2. ¿Cómo
saber si mi PC está infectado?
3. ¿Qué
daño puede causar Lovsan a mi PC?
4.
¿Cuáles versiones de Windows son vulnerables al ataque?
5. ¿Cómo
puedo proteger mi computadora de éste gusano?
6. ¿Que
es un cortafuegos y donde puedo obtenerlo?
7. ¿Cómo
instalo los parches de Windows?
8. No
puedo descargar los parches de Microsoft porque mi computadora
se reinicia constantemente.
9. ¿Qué
hago si mi computadora ya está infectada por el gusano Lovsan?
10. Ya
quité el gusano Lovsan pero mi computadora se vuelve a infectar.
11.
¿Porqué si he quitado el gusano, aún me piden que debo formatear
mi equipo?
1. ¿Cuál es la diferencia entre el gusano Lovesan, Lovsan,
Blaster, Msblast y Poza?
No existe ninguna diferencia. Son alias del mismo gusano. Cada
fabricante de antivirus suele darle un nombre diferente. Por
ejemplo, Kaspersky lo llama Worm.Win32.Lovesan por el tipo de
código analizado, es decir es código de 32 bits (Win32) y es un
gusano (Worm) debido a que se propaga a través de la red.
Además, existen múltiples variantes modificadas del Lovsan.
2. ¿Cómo saber si mi PC está infectado?
Su equipo podría estar infectado si se cumplen algunas de estas
características:
a. Encuentra los siguientes archivos en el directorio System de
Windows (generalmente C:\Windows\Systems32\ o
C:\Winnt\System32):
Msblast.exe
Teekids.exe
Penis32
b. Su computadora se reinicia en
forma aleatoria unos cuántos minutos después de iniciar su
conexión a Internet.
c. Aparecen mensajes de error inesperados cuando utiliza MS
Word, Excel u Outlook.
d. Aparecen mensajes de fallas provocadas por el archivo
Svchost.exe
e. El sistema muestra errores de falla con el servicio RPC con
un mensaje como el siguiente:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
Windows debe reiniciar ahora porque el
servicio Llamada a procedimiento
remoto (RPC) terminó de forma inesperada
3. ¿Qué daño puede causar
Lovsan a mi PC?
Este gusano no provoca ningún daño a los archivos locales de las
computadoras infectadas, tampoco borra o cambia datos en las
mismas.
Lovsan afecta únicamente el servicio de Internet debido
principalmente al excesivo tráfico que genera durante su intento
de infección. Como resultado los canales de transmisión pueden
saturarse y el servicio de Internet será lento e intermitente.
Adicionalmente, Lovsan contiene una rutina que se activaba a
partir del sábado 16 de agosto, la cuál ejecutaba un ataque DDoS
(Distributed Denial of Service o ataque distribuido de
denegación de servicio), dirigido hacia el sitio de
Windowsupdate.com. Se pretendía con ello que el servidor que
provee parches de seguridad del sistema operativo Windows
sufriera un colapso, dejando a los usuarios sin éste servicio.
Para evitarlo, Microsoft habilitó el siguiente enlace para las
actualizaciones de sus productos (incluidos los parches que
evitan el Lovsan).
http://windowsupdate.microsoft.com
4. ¿Cuáles versiones de
Windows son vulnerables al ataque?
Las siguientes versiones de Windows son vulnerables al ataque
del Lovsan:
-
Windows NT 4.0 Server
-
Windows NT 4.0 Terminal
Server Edition
-
Windows 2000
-
Windows XP 32 bit Edition
-
Windows XP 64 bit Edition
-
Windows Server 2003 32 bit
Edition
-
Windows Server 2003 64 bit
Edition
No son vulnerables Windows 95, 98
ni Me. Aún cuando un archivo infectado puede llegar a un equipo
con cualquiera de estos sistemas, los mecanismos de infección no
podrían activarse.
5. ¿Cómo puedo proteger mi computadora de éste gusano?
Usted debe seguir los siguientes pasos para minimizar el riesgo
de infección con el Lovsan:
a. Actualizar su programa antivirus y no desactivarlo mientras
este conectado a Internet.
b. Instalar un cortafuegos personal y bloquear los puertos 69,
135 y 4444 (cortafuegos como ZoneAlarm y otros, bloquean estos
puertos sin necesidad de que usted lo deba indicar.
c. Descargar y aplicar los parches recomendados por Microsoft
para eliminar la vulnerabilidad RPC/DCOM que es utilizada para
atacar la PC.
Recuerde que la descarga y aplicación de los parches de
Microsoft son importantes ya que estos evitarán que su
computadora sea atacada mediante la vulnerabilidad RPC/DCOM
6. ¿Que es un cortafuegos y donde puedo obtenerlo?
Un cortafuegos es un programa especial que lo protege contra
intrusos controlando la transferencia de datos entre Internet y
su computadora. Un cortafuegos filtra programas y paquetes
maliciosos. Además previene la conexión de aplicaciones del área
protegida hacia Internet.
Para usuarios caseros recomendamos:
° Cortafuegos gratuitos para uso personal:
ZoneAlarm
Outpost Firewall
Kerio Personal Firewall
En Windows XP, puede utilizar el
cortafuegos integrado: Internet Connection Firewall (ICF)
Para activar ICF en Windows XP, siga estos pasos:
a. Seleccione Inicio, Panel
de Control, Conexiones de Red e Internet, Conexiones de Red.
b. Pinche con el botón derecho del mouse sobre "Conexión de
Red de Area Local" y seleccione Propiedades.
c. En la lengüeta "Avanzadas" tilde la opción "Proteger mi
equipo y mi red limitando o impidiendo el acceso a él desde
Internet".
d. Seleccione Aceptar, etc.
° Cortafuegos de pago:
Kaspersky Anti-Hacker
McAfee
Symantec
ZoneAlarm Pro
Tiny Personal Firewall
Outpost Firewall
Kerio Personal Firewall
BlackICE PC Protection
7. ¿Cómo instalo los parches
de Windows?
Existe una nueva actualización de Microsoft para los parches que
evitan la propagación del Lovsan.
Solo necesita descargarlos y ejecutarlos en su equipo
desconectado de Internet. Un asistente lo guiará durante el
proceso de instalación.
8. No puedo descargar los parches de Microsoft porque mi
computadora se reinicia constantemente.
En caso de que su computadora se reinicie en forma continua, lo
mas probable es que esté infectada por el gusano Lovsan. En ese
caso busque el archivo TFTP.EXE en el directorio de sistema de
Windows y renómbrelo (generalmente C:\Windows\System32\ o
C:\Winnt\System). También revise en el caché, en la siguiente
carpeta (\Windows\System32\dllcache).
Después de aplicar los parches usted puede renombrar el archivo
con su nombre original.
9. ¿Qué hago si mi computadora ya está infectada por el
gusano Lovsan?
En este caso usted debe verificar que su antivirus esté
actualizado y ejecutar un escaneo completo a todos sus discos.
Existen también varias herramientas específicas para la limpieza
del gusano. La de Kaspersky Lab, es una utilería que localiza,
desactiva y borra los archivos infectados de todos los discos,
además restaura los archivos del directorio de sistema de
Windows.
10. Ya quité el gusano Lovsan pero mi computadora se vuelve a
infectar.
Los procedimientos de limpieza, sirven justamente para eso,
"limpian" o remueven el gusano del equipo infectado, pero no lo
protegen de ataques posteriores. Usted deberá aplicar los
parches de Microsoft, y seguir las recomendaciones ya explicadas
(antivirus al día, cortafuegos, etc.).
11. ¿Porqué si he quitado el gusano, aún me piden que debo
formatear mi equipo?
Esta es una de las preguntas que más nos hacen y que
lamentablemente en muy pocos lugares hemos vista explicada, y ni
siquiera aconsejada.
El problema no es el gusano, sino lo que permitió que el gusano
ingresara a nuestras computadoras.
El gusano es solo un aviso de que cualquier intruso pudo llegar
a hacer lo que se le diera la real gana en nuestro equipo. La
vulnerabilidad le brinda un acceso total al mismo, y aún sin
utilizar el gusano, cualquiera que utilice uno de tantos
"exploits" disponibles actualmente, podría haber dejado
cualquier otra clase de "sorpresa" que seguramente se activará
en el momento menos pensado (un exploit es un programa o método
concreto que saca provecho de una falla o agujero de seguridad
de una aplicación o sistema, generalmente para un uso malicioso
de dicha vulnerabilidad).
Un intruso también pudo haber hecho cambios en el sistema,
incluido el registro, de los que nunca sabríamos nada, hasta que
fuera muy tarde. En el mejor de los casos, perderíamos toda la
información de nuestros discos inesperadamente, que es lo mismo
que decir, que ello ocurrirá cuando más los necesitemos.
Por otra parte, existen muchos programas maliciosos creados
recientemente, que aún no son reconocidos por los antivirus. Si
bien lo serán cuando se activen, siempre estaremos al borde de
un abismo, y seguro no nos puede causar ninguna gracia pensar
que nuestra computadora sería el "conejillo de indias" para el
código malicioso.
Dicho de otro modo, sacando el Lovsan, y cerrando las puertas
para que no nos vuelvan a infectar o a acceder a nuestro equipo
como se explicó en los puntos anteriores, ni nos asegura que no
quedan archivos maliciosos, ni tampoco que no se hayan hecho
modificaciones que nos resulten perjudiciales en el futuro.
Incluso existe una versión del Lovsan que instala un troyano
capaz hasta de espiarnos con nuestra propia Web-Cam, o
escucharnos por el micrófono de nuestra tarjeta. Si bien este
troyano es identificable por los antivirus actualizados, no es
una garantía que existan otros, que también se hayan colado por
la vulnerabilidad que permitió la infección del Lovsan (que por
cierto, tampoco es el único gusano que se aprovecha de esta
falla).
Tomemos la infección del Lovsan como una señal de alarma. Si
ocurre, hay que seguir estos pasos:
a. Borrar el gusano como se indicó antes.
b. Respaldar la información importante (no los programas)
c. Formatear nuestros discos para asegurarnos de que el sistema
está limpio realmente, y reinstalar el sistema operativo y todos
los programas.
d. MUY IMPORTANTE: instalar el parche correspondiente, y activar
un cortafuegos, además de mantener al día nuestros antivirus.
Agradecimientos: Kaspersky Lab México,
http://www.avp.com.mx/
(c) Video Soft
(c) VSAntivirus |
Programas
Gratis
Mp3