Bueno al parecer se ha producido una mutacion de este gusano...y parece que ha pegado fuerte, tiene infectados a cientos de usuarios, la mayoria de ellos domesticos...P
osee una propagacion muy elevada y lo consigue gracias a una vulneravilidad en un protocolo del sistema operativo Windows (Remote Procedure Call)[RPC]...existe un parche para prevenirlo. Quien no tenga actualizado su sistema operativo que lo haga inmediatamente
...
Para propagarse utiliza el puerto 135 (TCP), por lo que a una maquina con un cortafuegos correctamente configurado no deberia de afectarle, o eso se supone :S. El metodo de propagacion que usa es muy simple, crea direcciones ip's aleatoriamente
...si, si...Si esta ip no ha sido infectada antes y posee el sistema operativo windows, se envian unos datos al puerto 135 desbordando el bufer RPC, asi el gusano abre el sistema y ataca la shell. He de decir que no afecta a todos los windows, pero ahora mismo no me acuerdo a cuales atacaba xDD, SIENTO DECEPCIONAROS, AL XP SI QUE LE AFECTA. xDDDDD
Uno de los efectos que tiene es que te bloquea la maquina hasta tal punto que esta se reinicia. Esto se debe a un error en el exploit. Muestra algunos mensajes de error como:
-Apagar el sistema
-Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado.
-El apagado ha sido iniciado por NT
Existe una herramienta la cual lo elimina,
He de decir que esta herramienta no previene a tu pc del proceso de infeccion para ello debes descargar el parche que repara esta vulneravilidad
. Si no nos deja de descargarla porque el proceso del gusano esta en ejecucion deberomos matarlo, en el administrador de tareas. Creo que el nombre del proceso es algo como esto --> "MSBLAST.EXE" (pero si es una variante puede cambiar). Creo que el gusano se suele alojar en "C:\Windows\System32"
Os comento esto para que esteis prevenidos sobre el tema, si sabeis algo mas añadidlo....
P.D: Mas vale prevenir, que curar
Autor