Se me reinicia el ordenador
Cuando desactivo la casilla de proteger mi equipo y mi red limitando o impidiendo el acceso a él desde interned en la pestaña avanzadas de propiedades de conexión de red, me da un error de Servicio llamada a procedimiento remoto (RPC) termino de forma inesperada y me sale un mensaje de que en 1 minuto se apagara el ordenador
1 Respuesta
Respuesta de ibcsat
1
Mucho me temo querido amigo que te han hecho un hijo.
Un hijo muy molesto y jodido apodado V-BLASTER. O lo que es lo mismo, tienes un virus.
Se trata de un virus con una capacidad de propagación muy elevada. Esto lo consigue porque hace uso de una vulnerabilidad de los sistemas Windows NT, 2000 XP y 2003 (que son los únicos afectados) conocida como "Desbordamiento de búfer en RPC DCOM ".
Se trata de una vulnerabilidad para la que hay parche desde Junio de 2003, todos los usuarios que no hayan actualizado su sistema desde esa fecha deberían hacerlo inmediatamente. Por otra parte se propaga usando el puerto TCP 135, que no debería estar accesible en sistemas conectados a Internet con un cortafuegos correctamente configurado.
Los efectos destructivos consisten en lanzar ataques de denegación de servicio con el web de Microsoft "windows update" y quizás provocar inestabilidad en el sistema infectado.
Detalles
Vulnerabilidad Windows en "RPC DCOM "
Este gusano explota la vulnerabilidad conocida como "Desbordamiento de Búfer en RPC DCOM", una vulnerabilidad en llamadas a procedimiento remoto (RPC) mediante el modelo de objetos distribuidos (DCOM). Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario.
Más información sobre este vulnerabilidad en el Boletín de Seguridad de Microsoft MS03-26
Método de propagación
El gusano está constantemente escaneando subredes IP de clase C; empieza por una dirección x.y.z.0, donde x, y, z son valores aleatorios, y barre el rango de direcciones incrementando de uno en uno el cuarto octeto. Si en alguna de estas direcciones IP se encuentra con un sistema vulnerable que aún no ha sido infectado, entonces le enviará datos al puerto 135 con el fin de provocar el desbordamiento de búfer. Este desbordamiento permite al gusano abrir en el sistema atacado una shell remota. A esa shell se le envían los comandos correspondientes para que el sistema, mediante protocolo TFTP, descargue el fichero msblast.exe en el directorio de sistema de Windows.
Notas:
1.- Normalmente este directorio es C:\Windows\System32 o bien C:\WINNT\System32.
2.- TFTP (trivial file transfer protocol) es un protocolo FTP simplificado.
Además, se le ordenará al sistema infectado, mediante la shell remota, que que ejecute ese fichero (que es el que se acaba de descargar y el que contiene el gusano).
Ataque de denegación de servicio distribuido
En los meses de enero a agosto, el gusano lanzará un ataque de denegación de servicio desde el día 16 de esos meses hasta el 31.
El resto de meses, de septiembre a diciembre, el gusano lanzará ese ataque todos los días del mes.
En la versión actual del gusano, enviará paquetes de 40 bytes cada 20 milisegundos al puerto 80 de "windowsupdate.com".
Efectos en el sistema infectado.
En ocasiones, y debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, se muestra el siguiente mensaje antes de que el sistema se cierre:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
Para el apagado: xx:xx:xx
Mensaje
Windows debe reiniciar ahora porque el
Servicio Llamada a procedimiento
Remoto (RPC) terminó de forma inesperada
Esto ocurrirá continuamente hasta que sea limpiada la infección.
El gusano también se ejecuta como un servidor TFTP en la computadora atacada usando el puerto UDP/69, con lo que permite que la víctima sirva de host a otros usuarios para que descarguen de allí una copia del gusano (MSBLAST.EXE).
Abre el puerto TCP/4444 en la computadora infectada, aceptando comandos de un usuario remoto. No hay indicios de que el puerto siga abierto después del envío de las instrucciones.
Claves añadidas al registro
El gusano añade alguna de las siguientes claves:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Otros detalles
El gusano utiliza los puertos TCP 135, 4444 y el UDP 69.
Está empaquetado con UPX.
El gusano contiene el siguiente texto dentro de su código:
I just want to say LOVE YOU SAN!
billy gates why do you make this possible? Stop making money and fix your software!
Ha sido programado en ensamblador.
Solución
Enlaces a herramientas que eliminan el virus
Los principales fabricantes antivirus han publicado herramientas, que pueden descargarse gratuitamente desde sus páginas web, y que eliminan este gusano de un sistema infectado. Damos aquí un listado de algunas de esas herramientas:
System Cleaner de Trend Micro
Blaster Removal Tool de Symantec
Herramienta de Computer Associates
PQRemove de Panda Software
Eliminación manual del virus
Antes de nada, es necesario deshabilitar la conexión a Internet. Esta conexión no se podrá habilitar de nuevo hasta que el virus haya sido eleiminado y el sistema protegido contra nuevas posibles infecciones del propio virus
Terminar el proceso asociado al gusano
Abrir el administrador de tareas de windows (CTRL+SHIFT+ESC) y seleccionar las pestaña "Procesos"
En la lista que aparece, seleccionar el proceso MSBLAST.EXE y pulsar el botón "Terminar proceso"
Comprobar que se ha finalizado ese proceso (cerrando el administrador de tareas, volviéndolo a abrir y comprobar que no aparece en la lista).
Cerrar el administrador de tareas.
Borrar entradas en el registro
Abrir el editor del registro (pulsar Inicio->Ejecutar, escribir regedit y pulsar la tecla Enter).
En el panel izquierdo, hacer doble click en:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
En el panel derecho, localizar y borrar la entrada ?windows auto update" = MSBLAST.EXE
Cerrar el editor del registro.
Instrucciones adicionales para usuarios de Windows XP
Para estos usuarios, además de los pasos anteriores, es preciso deshabilitar el "System Restore" de Windows XP. Para ello:
Entrar como administrador del sistema
Doble click sobre "Mi PC" (en el escritorio) y pinchar en "Propiedades"
Ir a System Restore
Seleccionar "Deshabilitar System Restore"
Pulsar Aplicar > Sí > Aceptar
Continuar con el proceso de limpieza.
Escaneado con el antivirus
Indicar al antivirus instalado que haga un escaneado de todo el sistema (asegurarse antes de que el antivirus contiene las últimas actualizaciones). Caso de no tener antivirus, ir al directorio System32 (normalmente C:\Windows\System32 o C:\WINNT\System32) y ahí borrar completamente el fichero MSBLAST.EXE.
Aplicar parche
Puede instalar el parche automáticamente en el sitio de Windows Update (requiere Internet Explorer) o puede dirigirse al Boletín de Seguridad de Microsoft MS03-26 y ahí descargar el parche e instalarlo en el sistema. Para hacer la descarga del parche habrá que volver a habilitar la conexión a Internet. Recuerde que en este momento su ordenador es vulnerable y puede volver a infectarse de nuevo con el virus. Una vez se ha descargado el parche se puede deshabilitar el acceso a Internet y después instalar (ejecutar el parche). Una vez el parche ha sido instalado el sistema ya no es vulnerable a nuevas infecciones de este virus y el acceso a Internet se puede mantener permanentement.
Un hijo muy molesto y jodido apodado V-BLASTER. O lo que es lo mismo, tienes un virus.
Se trata de un virus con una capacidad de propagación muy elevada. Esto lo consigue porque hace uso de una vulnerabilidad de los sistemas Windows NT, 2000 XP y 2003 (que son los únicos afectados) conocida como "Desbordamiento de búfer en RPC DCOM ".
Se trata de una vulnerabilidad para la que hay parche desde Junio de 2003, todos los usuarios que no hayan actualizado su sistema desde esa fecha deberían hacerlo inmediatamente. Por otra parte se propaga usando el puerto TCP 135, que no debería estar accesible en sistemas conectados a Internet con un cortafuegos correctamente configurado.
Los efectos destructivos consisten en lanzar ataques de denegación de servicio con el web de Microsoft "windows update" y quizás provocar inestabilidad en el sistema infectado.
Detalles
Vulnerabilidad Windows en "RPC DCOM "
Este gusano explota la vulnerabilidad conocida como "Desbordamiento de Búfer en RPC DCOM", una vulnerabilidad en llamadas a procedimiento remoto (RPC) mediante el modelo de objetos distribuidos (DCOM). Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre él código arbitrario.
Más información sobre este vulnerabilidad en el Boletín de Seguridad de Microsoft MS03-26
Método de propagación
El gusano está constantemente escaneando subredes IP de clase C; empieza por una dirección x.y.z.0, donde x, y, z son valores aleatorios, y barre el rango de direcciones incrementando de uno en uno el cuarto octeto. Si en alguna de estas direcciones IP se encuentra con un sistema vulnerable que aún no ha sido infectado, entonces le enviará datos al puerto 135 con el fin de provocar el desbordamiento de búfer. Este desbordamiento permite al gusano abrir en el sistema atacado una shell remota. A esa shell se le envían los comandos correspondientes para que el sistema, mediante protocolo TFTP, descargue el fichero msblast.exe en el directorio de sistema de Windows.
Notas:
1.- Normalmente este directorio es C:\Windows\System32 o bien C:\WINNT\System32.
2.- TFTP (trivial file transfer protocol) es un protocolo FTP simplificado.
Además, se le ordenará al sistema infectado, mediante la shell remota, que que ejecute ese fichero (que es el que se acaba de descargar y el que contiene el gusano).
Ataque de denegación de servicio distribuido
En los meses de enero a agosto, el gusano lanzará un ataque de denegación de servicio desde el día 16 de esos meses hasta el 31.
El resto de meses, de septiembre a diciembre, el gusano lanzará ese ataque todos los días del mes.
En la versión actual del gusano, enviará paquetes de 40 bytes cada 20 milisegundos al puerto 80 de "windowsupdate.com".
Efectos en el sistema infectado.
En ocasiones, y debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, se muestra el siguiente mensaje antes de que el sistema se cierre:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
Para el apagado: xx:xx:xx
Mensaje
Windows debe reiniciar ahora porque el
Servicio Llamada a procedimiento
Remoto (RPC) terminó de forma inesperada
Esto ocurrirá continuamente hasta que sea limpiada la infección.
El gusano también se ejecuta como un servidor TFTP en la computadora atacada usando el puerto UDP/69, con lo que permite que la víctima sirva de host a otros usuarios para que descarguen de allí una copia del gusano (MSBLAST.EXE).
Abre el puerto TCP/4444 en la computadora infectada, aceptando comandos de un usuario remoto. No hay indicios de que el puerto siga abierto después del envío de las instrucciones.
Claves añadidas al registro
El gusano añade alguna de las siguientes claves:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Otros detalles
El gusano utiliza los puertos TCP 135, 4444 y el UDP 69.
Está empaquetado con UPX.
El gusano contiene el siguiente texto dentro de su código:
I just want to say LOVE YOU SAN!
billy gates why do you make this possible? Stop making money and fix your software!
Ha sido programado en ensamblador.
Solución
Enlaces a herramientas que eliminan el virus
Los principales fabricantes antivirus han publicado herramientas, que pueden descargarse gratuitamente desde sus páginas web, y que eliminan este gusano de un sistema infectado. Damos aquí un listado de algunas de esas herramientas:
System Cleaner de Trend Micro
Blaster Removal Tool de Symantec
Herramienta de Computer Associates
PQRemove de Panda Software
Eliminación manual del virus
Antes de nada, es necesario deshabilitar la conexión a Internet. Esta conexión no se podrá habilitar de nuevo hasta que el virus haya sido eleiminado y el sistema protegido contra nuevas posibles infecciones del propio virus
Terminar el proceso asociado al gusano
Abrir el administrador de tareas de windows (CTRL+SHIFT+ESC) y seleccionar las pestaña "Procesos"
En la lista que aparece, seleccionar el proceso MSBLAST.EXE y pulsar el botón "Terminar proceso"
Comprobar que se ha finalizado ese proceso (cerrando el administrador de tareas, volviéndolo a abrir y comprobar que no aparece en la lista).
Cerrar el administrador de tareas.
Borrar entradas en el registro
Abrir el editor del registro (pulsar Inicio->Ejecutar, escribir regedit y pulsar la tecla Enter).
En el panel izquierdo, hacer doble click en:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
En el panel derecho, localizar y borrar la entrada ?windows auto update" = MSBLAST.EXE
Cerrar el editor del registro.
Instrucciones adicionales para usuarios de Windows XP
Para estos usuarios, además de los pasos anteriores, es preciso deshabilitar el "System Restore" de Windows XP. Para ello:
Entrar como administrador del sistema
Doble click sobre "Mi PC" (en el escritorio) y pinchar en "Propiedades"
Ir a System Restore
Seleccionar "Deshabilitar System Restore"
Pulsar Aplicar > Sí > Aceptar
Continuar con el proceso de limpieza.
Escaneado con el antivirus
Indicar al antivirus instalado que haga un escaneado de todo el sistema (asegurarse antes de que el antivirus contiene las últimas actualizaciones). Caso de no tener antivirus, ir al directorio System32 (normalmente C:\Windows\System32 o C:\WINNT\System32) y ahí borrar completamente el fichero MSBLAST.EXE.
Aplicar parche
Puede instalar el parche automáticamente en el sitio de Windows Update (requiere Internet Explorer) o puede dirigirse al Boletín de Seguridad de Microsoft MS03-26 y ahí descargar el parche e instalarlo en el sistema. Para hacer la descarga del parche habrá que volver a habilitar la conexión a Internet. Recuerde que en este momento su ordenador es vulnerable y puede volver a infectarse de nuevo con el virus. Una vez se ha descargado el parche se puede deshabilitar el acceso a Internet y después instalar (ejecutar el parche). Una vez el parche ha sido instalado el sistema ya no es vulnerable a nuevas infecciones de este virus y el acceso a Internet se puede mantener permanentement.
Veo que la respuesta es excelente, aunque un poco técnico, pero creo que podre solucionarlo. Estoy un poco verde, así que si no te importa me gustaría saber algún sitio donde pueda informarme más sobre los puertos.
Un Saludo
Un Saludo
Perdona por liarme en exceso con la respuesta, lo que pretendía era que comprendieses el riesgo de pérdida de datos que tienes. Pero resúmela en hacer los pasos que te comenté.
Respecto a los puertos te digo que el TCP/IP tiene gran número de ellos, pero si te interesan mira en :
http://www.glosarium.com/index.php?a=list&d=2
Y otra vez te pido disculpas por extenderme tanto.
Respecto a los puertos te digo que el TCP/IP tiene gran número de ellos, pero si te interesan mira en :
http://www.glosarium.com/index.php?a=list&d=2
Y otra vez te pido disculpas por extenderme tanto.
