El virus Blaster

Escrito por Manz

http://www.emezeta.com/

Revisin 1: 18 de Octubre de 2003 Revisin 2: 11 de Septiembre de 2005

Resumen:
Problema de seguridad de Microsoft, que junto a este virus que explota esa falla, hacen de l un problema bastante molesto.

IMPORTANTE!! Si ests infectado por el Blaster y ests buscando una solucin leyendo esto, recurre a este fallo en la programacin del virus que he descubierto y espera a que te salga la pantalla de cuenta atrs. Una vez aparezca, cambia la fecha de tu sistema a como mnimo 2 o 3 das antes. Tendrs tiempo para buscar informacin, descargarte parches y eliminar el virus antes de que se te reinicie el ordenador.

Qu es el Blaster ?
El Blaster es simplemente un virus que infecta sistemas que usan Windows de sistema NT como el Windows NT, Windows 2000, Windows XP o Windows 2003. Que es entonces lo que lo hace tan potente o especial? Fcil respuesta. Que usa una vulnerabilidad de Microsoft. Expliquemos esto para que todos lo tengan claro. El Blaster es un simple virus que infecta los ordenadores como cualquier otro, tiene consecuencias malignas como cualquier otro virus, pero lo que lo hace tan potente, es que usa un agujero de seguridad de las versiones anteriormente dichas de Windows. Con esto me refiero a que el virus se aprovecha de que hay un agujero en el Windows para colarse por ah e infectar el sistema. Microsoft ha publicado un parche que corrige este problema, pero como es lgico, la instalacin de Windows XP viene sin parche, y por lo tanto vulnerable, esto indica que SIEMPRE que se instale el Windows XP desde cero tendr el agujero hasta que no se instale el parche. Esto es lo que hace tan potente el virus, nombrando tambin, que la pantalla de error de Windows que aparece hace que muchos usuarios piensen que es un fallo del sistema operativo y tiendan a borrar el sistema, reinstalarlo o formatearlo, y frustrados, comprueben que continua el problema.

 Cuales son los sntomas del Blaster ?

Al infectarnos con ste virus, aparece una pequea ventana con un mensaje similar al siguiente: Se est apagando el sistema. Guarde todo trabajo en curso y cierre la sesin. Se perder cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTHORITY\SYSTEM Tiempo restante para el apagado: 00:00:59 Mensaje: Windows debe reiniciar ahora porque el servicio Llamada a procedimiento remoto (RPC) termin de forma inesperada. Como podis comprobar aparenta ser un fallo de Windows que no parece para nada ser un virus. Pues as lo es. Este mensaje no es un virus, en realidad es un mensaje de Windows que ha sido obligado a reiniciar por causa del virus. Esta es la ventana en cuestin:

Hay que tener muy en cuenta que NO SIEMPRE aparece este mensaje cuando ests infectado con el virus Blaster. Puede aparecernos cuando se produce un error del sistema con, por ejemplo, el servicio SVCHOST (Para los ms osados hacer la prueba, verificar el sistema con antivirus para comprobar que no existe el Blaster y probad a finalizar las tareas SVCHOST). El gusano tambin se ejecuta como un servidor TFTP en el ordenador atacado usando el puerto 69 (UDP), lo que quiere decir, que el usuario infectado sirve de "pgina web" (por decirlo as), donde otros usuarios infectados se descarguen de l una copia del gusano (MSBLAST.EXE). Tambin abre el puerto 4444 (TCP) en el ordenador infectado, aceptando comandos de un usuario remoto.

Como informacin para los ms minuciosos, el gusano aade algunas claves al registro de Windows, en la clave HKEY_LOCAL_MACHINE: SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("windows auto update" = msblast.exe) SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill) Bastante curioso ese mensaje, que traducido es algo as como Ahora quiero que digas TE QUIERO SAN, Bill haciendo referencia a Bill Gates. El virus esta empaquetado con UPX, programado en ensamblador y usa los puertos 135, 4444 (TCP) y el 69 (UDP). Dentro de su cdigo se puede leer el siguiente texto (en ingls): Ahora quiero que digas TE QUIERO SAN!! Billy gates Porque haces esto posible ? Para de ganar dinero y arregla tus programas!!

Cules son las causas de que me haya entrado el Blaster ?

Como bien dije antes, no es culpa de que hayas hecho nada. El Windows XP viene de fbrica sin el parche y por lo tanto si no es parcheado seguir teniendo este problema al reinstalarlo hasta que Microsoft saque una versin de Windows XP con parche incorporado.
NOTA: Actualmente, Windows XP con Service Pack 2 viene con los parches para Blaster y Sasser incorporados, de modo que no tendrs que instalarlos.

Que puedo hacer para solucionarlo ?

Primero, recomiendo desactivar la opcin Restauracin del sistema ya que, al instalar el parche, el sistema har una copia para una posible restauracin, y si esto se permite, el Windows har una copia del virus en alguna parte, cosa que no nos interesa. Con el botn derecho en Propiedades en Mi PC seleccionamos la pestaa Restaurar Sistema, marcamos "Desactivar Restaurar sistema en todas las unidades" y aceptamos. Acordemonos de volverla a habilitar cuando terminemos de eliminar el virus.

El primer paso a seguir es cerrar el agujero del Windows para que el virus no pueda volver a entrar. Si primero borramos el virus y luego instalamos el parche estaremos perdiendo el tiempo porque no tardaremos nada en volvernos a infectar. Descarga uno de los parches siguientes: Parche para Windows XP: http://download.microsoft.com/download/6/6/0/660dd9a5-c7b4-4d62-9c1d025b073c1c7b/WindowsXP-KB823980-x86-ESN.exe Parche para Windows 2000: http://download.microsoft.com/download/c/c/a/cca96cb3-cbda-4e9b-8c8ec76505c48dfd/Windows2000-KB823980-x86-ESN.exe

Si an no estamos infectados, nos descargaremos el parche rpidamente y nos desconectamos de internet (o apagamos el mdem hasta instalar el parche). As evitaremos el infectarnos con el virus mientras no est instalado el parche. Una vez instalado el parche deberamos matar el proceso del virus. Pulsamos CTRL + ALT + SUPR (una sola vez!), pinchamos en procesos, MSBLAST.EXE y le damos a Terminar proceso. Para terminar solo debemos pasar un antivirus actualizado o uno especializado en este virus como los que muestro a continuacin: Antivirus para el virus Poza: http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip Antivirus Symantec para el virus Blaster: http://securityresponse.symantec.com/avcenter/FixBlast.exe

Opinin Personal: Opino que este virus no es algo de otro mundo, solo que el programador se aprovecho de un punto flaco del sistema operativo y con esto consigui una ancha y amplia zona para infectar ordenadores. Avisar de que los usuarios que posean routers (como es mi caso) y los tengan en multipuesto con los puertos cerrados no sufrirn la infeccin, ya que el virus no puede entrar. Tambin es altamente recomendable instalar un firewall, aunque solo para usuarios avanzados, dado lo complejo que es instaurar unas reglas para su correcto funcionamiento.