dsllibre.org

Peligro nuevo virus que Apaga las computadoras MSblast.exe
entren en administrador y verifiquen quen en msconfig que no tengan msblast.exe
para protegerse sieren el puerto 135
ayer el virus afecto todas las pc de mi casa, claro no tenia firewall , ahora mismo estoy conectado
porque estoy en linux ya que en windows no me deja conectar

Tsk tsk tsk. No tener un firewall es practicamente pedir que te pasen estas cosas. Espero que hayas aprendido la leccion.

deben verificar
en run msconfig

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


"windows auto update"="msblast.exe"
si dise esto tienen el worm
todos deben prender su firewall
--------------------------------------------------------
http://www.dslreports.com/shownews/31258

http://www.cnn.com/2003/TECH/internet/0 ... index.html

http://www.dslreports.com/forum/remark, ... ~mode=flat

Este tool crado por symantec remueve el virus

http://securityresponse.symantec.com/av ... .tool.html

si no activas tu firewall volveras a cojer el virus

Luis Duran, gracias un millon por la info, tengo pal de clientes que han venido llorando por que supuestamente se le restartea la PC, y cuando a uno de ellos le dije que buscara en el registry.... viola, windows auto update"=msblast.exe

Jamas pense que este virus me hiba a traer tanto dolor de cabeza y gracias a tu info pude solucionarlo.

Ah vaya... No hace poco acabando de montar una computadora no hice mas q instalar windows y enseguida q me conectaba me queria restartear no me dejaba bajar el update...

Si no me equivoco el patch para esto ha estado disponible hace tieeeeeempo...
Remember: KEEP WINDOWS UP TO DATE
Estamos bregando con un sistema operativo lleno de wormholes...

Pasos para poder instalar el patch y remover sin que se te apague

da restart y presiona F8 muchas veces para entrar en safe mode with network suport y logeate como administrador

ir a control panel/administrative tools/services
busca los servicios que dicen remote procedure call(son dos)
le das properties/ recovery/ y en (first failure, second y subsecuent) pon take no action . tienes que hacerlo en los dos archivos en los dos servicios. con suerte podras conectarte al internet i bajar el patch. es importante saber que si tu computadora esta infectada debes primero remover el virus y despues darle el patch

Para sorpresa mia cuando fui a la UPR de aguadilla todas las computadoras estaban infectadas porque el virus se rego por el server.

Yo no se para ustedes, ese gusano lo que lleva son unos cuantos dias corriendo, como es posible que symantec en un dia, diria yo haya hecho una herramienta para supuestamente sacar el gusano de los registros de windows. un gusano o virus como mejor les guste llamarles a un programador le debe tomar varias semanas para poder soltarlo en un servidor por que primero tiene que probar si funciona o no, y tu me vienes a decir a mi que en un dia symantec hizo una herramienta para sacar el gusano del sistema operativo. Ellos saben cual es el comportamiento del gusano y todo lo que hace donde se encuentra bajo que nombres y bajo que alias registro todo y el virus lo que llevava era un dia o dos maximo en la net? Yo ese juego que tienen las compañias de estos programas supuestos antivirus no me lo como yo lo que pienso es que ellos hacen estos gusanos cuando las ventas del programa estan por debajo de lo que ellos esperan para poder subir las ganancias de la compañia. USTEDES SABEN CUANTAS PERSONAS DESDE QUE SALIO EL GUSANO ESE HA IDO A COMPRAR UN PROGRAMA ANTIVIRUS O LO HAN BAJADO DE INTERNET CON MIRAS A COMPRARLO?

Ellos con sus cuentos yo con los mios total lo mas que puede pasar es que me infecte y eso con formatear el disco es suficiente. -> pero acuerdense de tener una imagen del disco antes de borrar yo el programa que uso es el ghost.

ahhh sea la ma.... yo me estaba volviendo loko por q cada 2 minutos se me daba restart la PC solo..y con que era esta porqueria

El antivirus solo en lo que te podria ayudar es en removerlo despues de infectada la PC. Para una proteccion efectiva debes corregir la debilidad del servicio que el gusano ataca y segundo utilizar un firewall que proteja en este caso el puerto 135.

Es curioso la rapidez con la que este virus se rego. En mi caso observe que en menos de 10 minutos tocaron a la puerta (Port 135) 13 veces. No estoy seguro si todas fueron el MSBLAST pero el intento estuvo ahi.

El siguiente enlace provee los parches para los diferentes sabores de NT:
http://www.microsoft.com/technet/treevi ... 03-026.asp

es importante saber que si tu computadora esta infectada debes primero remover el virus y despues darle el patch

Segun tengo entendido, primero tienes que poner el patch del Buffer Overflow in RPC ( creo que asi es que se llama) para despues usar el removal tool, por lo menos eso sugieren en symantec. Tambien lei que si tu PC esta infectada y esta en WinXP deberias de prender por lo menos, el Windows integrated Firewall, y eso te permitira bajar el parcho y el removal tool. Yo por lo menos me salve de esa porque formatie hace poco y ese update estaba y lo baje, a los 3 o 4 (o sea en estos dias) fue que oi las quejas de mis clientes de que se restartiaban las PCs.

Tambien supe que la Universidad de Humacao se infecto la mitad de la red, el area de secretarial tubo que ser cerrado en lo que el problema se resolvia porque esa red fue infectada completa.

Lo que pienso es que esto es solo el principio, no se porque, pero en la forma que se propago, con la facilidad tan increible que lo hizo, programers van a querer hacer virus similares, lo veremos al tiempo.

Parese que el abuso continua:

from : http://www.dshield.org/

"One popup ad has been spotted which attempts to mimik the RPC error message in order to trick users into purchasing a software firewall"

Algunas compañías están sacando provecho al tratar de imitar el error que produce msblast, en un popup add para que las personas compren su firewall.

CrazyDude wrote:Yo no se para ustedes, ese gusano lo que lleva son unos cuantos dias corriendo, como es posible que symantec en un dia, diria yo haya hecho una herramienta para supuestamente sacar el gusano de los registros de windows. un gusano o virus como mejor les guste llamarles a un programador le debe tomar varias semanas para poder soltarlo en un servidor por que primero tiene que probar si funciona o no, y tu me vienes a decir a mi que en un dia symantec hizo una herramienta para sacar el gusano del sistema operativo.

Tengo entendido que MS conocía de ese problema que explotó el worm y tenían un fix desde hace un mes por Windows update...lo malo fue que después los que pusieron el worm lo pusieron que atacara a los que entraban al windows update...a mi por lo menos no me atacó ya que mantengo bastante al dia los updates de MS y de por casualidad habia bajado el fix que arreglaba ese problema y tengo Firewall en casa y en el trabajo... . El fix no era muy dificil de hacer. Además todavia no he visto un virus de esto que aparecen de cantazo al cual Symantec o Network Associates logren resolver con bastante velocidad. Es su trabajo despues de todo...

PELIGRO – Bueno otro virus esta ves el W32/Nachi.worm. Todos los que tienen firewall deben haberse dado cuenta de la gran cantidad de trafico ICMP , este virus utiliza el método del msblas mas otros métodos al afectar varias debilidades de Microsoft

Bueno en una hora mi firewall a bloqueado veces 340 trafico de ICMP
Para mas info. vean

http://vil.nai.com/vil/content/v_100559.htm
http://isc.sans.org/diary.html?date=2003-08-18

http://securityresponse.symantec.com/av ... c/data/w32

NUEVO VIRUS AFECTA AL INTRANET DEL NAVY

Welchia worm
Bueno este nuevo virus tiene el propósito de eliminar el msblast pero crea tanto trafico que tumba al server

Increíble mente el virus logro afectar a el del NAVY

Vean este artículo de pcworld.com

http://www.pcworld.com/news/article/0,aid,112090,00.asp

yo esperaba que esta gente tuviera mejor seguridad pero tal parese que no la tienen