Tengo el W32.Blaster.E.Worm

El acabar con el "engendro" es de niños chicos: se elimina una clave en el registro y se pone el parche.

Pero eso es usar la postura del "avestruz" y además estar necesitado de ella. He visto en varios post que aconsejas este tipo de cosas, y creo que no eres consciente del daño que estás haciendo.

Si se cuentan las cosas... hay que contar TODA la verdad.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Manuel Rubio" wrote in message news:013e01c3cf09$4b7b1a40$
Mira la siguiente pagina:

http://securityresponse.symantec.co...nc/data/w3
2.blaster.e.worm.html

Esta en ingles pero explica muy bien como acabar con
este "engendro".

El nombre del objeto es C:\Windows\System32\MSLAUGH.EXE
He intentado eliminarlo por todos los medios que conozco:
..Tengo los parches MS03-026 y MS03-039
..He deshabilitado los puertos 135,139,445 y 593 TCP
..El 69 UDP
..El4444 TCP
El antivirus lo detecta pero no puede repararlo
¿Qué puedo hacer?
.

Para Jose Manuel Tella Llop

Querido Jose Maria:

En absoluto pretendo polemizar contigo sobre el
virus "Blaster" motivado por mis post sobre como acabar
con este bicho.

Yo se que tu eres partidario del formateo y he leido tus
articulos de http://www.multingles.net/docs/rpc.htm sobre
la vulnerabilidad al RPC, que permite que no sólo haya
podido entrar en la maquina infectada el gusano Blaster
sino que también con ello cualquier hacker o script-
kiddie ha podido entrar en la misma.

Te he mandado un correo personal con mi admiración por lo
que sabes y-francamente-desde aqui repito que estoy
completamente de acuerdo con tu posición pero me parece
que tambien exageras un poco.

En terminos comparativos,lo que tu propones a todo el que
pille el "Blaster" es algo así como si a todos los que
tuviesen el SIDA las autoridades sanitarias les
aconsejasen "cortar por lo sano" y hacerles una eutanasia
para "eliminarlos" y de este modo asegurar mejor la salud.

Sin embargo-querido Jose Maria- debes de tener en cuenta
que a todo el mundo no le apetece el coñazo de formatear
su maquina y empezar "desde cero" (aunque convengo
contigo que es la mejor solución sin ningún genero de
dudas).

Yo no creo que este haciendo ningun daño dando unos
consejos que no he sacado de mi modestísima cabeza sino
despues de leer mucho sobre este virus y lo que dicen
compañias antivirus tan prestigiosas como Panda Software
o Symantec (Norton).

Es cierto que con el virus "Blaster"cualquier hacker,ha
podido entrar en tu máquina,pero hay una cosa que es
la "teoria de la probabilidad" y eso no siempre ocurre.

Según dice el "Virusometro de Panda" en todos el mundo
hay un 0,42% de equipos infectados por el "Blaster" y un
0,39% por el "Blaster.E"

Y esto va a seguir porque este gusano esta constantemente
escaneando subredes IP de clase C,empezando por una
direccion x.y.z.0,donde x,y,z,son valores aleatorios y
barre el rango de direcciones,incrementando de uno en uno
el cuarto octeto.Si en alguna de estas direcciones IP se
encuentra con un sistema vulnerable que aún no ha sido
infectado(y sin el "parche" de Microsoft),entonces le
enviará datos al puerto 135 con el fin de provocar el
desbordamiento del búfer.Este desbordamiento permite al
gusano abrir en el sistema infectado una shell remota.A
esa shell se le envian los comandos correspondientes para
que el sistema,mediante protocolo TFTP descargue el
fichero "msblast.exe" (u otro parecido" en el directorio
de sistema de Windows "\system32" y ademas se le ordenará
al sistema infectado,mediante la shell remota indicada
que ejecute ese fichero (que es el que se acaba de
descargar y el que contiene el gusano)

Que por esa "shell remota" un "hacker" o un "script-
kiddie" se puede "colar" en tu sistema sin ningún género
de duda,pero eso es UN AZAR y de 100.000 equipos
infectados a lo mejor le pasa a 20 o 30 (depende la "mala
leche" que haya en ese momento en la Red) pero tú no
puedes acusarme a mí de "estar haciendo daño" por
compartir mi experiencia con gente que está "agobiada"
con este engendro y tú la única solucion que le ofreces
es FORMATEAR Y EMPEZAR DESDE CERO.

Yo convengo contigo en que esa la mejor solución pero si
tienes mogollón de programas instalados y no te APETECE
EMPEZAR DESDE CERO los consejos que yo doy (que no son
mios sino sacados de Compañias Antivirus) pueden ser OTRA
ALTERNATIVA a lo que tu ofreces.

Asi es que en la libertad de estas "News" que cada cual
haga lo que le de la gana pero todos colaboramos con
buena intencion.

¡Feliz Año 2004 a todos!...

El acabar con el "engendro" es de niños chicos: se

elimina una clave en el registro y se pone el parche.

Pero eso es usar la postura del "avestruz" y además

estar necesitado de ella. He visto en varios post que
aconsejas este tipo de cosas, y creo que no eres
consciente del daño que estás haciendo.

Si se cuentan las cosas... hay que contar TODA la verdad.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.


"Manuel Rubio" wrote in message

news:013e01c3cf09$4b7b1a40$

Mira la siguiente pagina:

http://securityresponse.symantec.co...enc/data/w

3

2.blaster.e.worm.html

Esta en ingles pero explica muy bien como acabar con
este "engendro".

El nombre del objeto es C:\Windows\System32\MSLAUGH.EXE
He intentado eliminarlo por todos los medios que

conozco:

..Tengo los parches MS03-026 y MS03-039
..He deshabilitado los puertos 135,139,445 y 593 TCP
..El 69 UDP
..El4444 TCP
El antivirus lo detecta pero no puede repararlo
¿Qué puedo hacer?
.

.

Hay otro factor que no has tenido en cuenta: a todos nos interesa que todos
los PCs sean seguros...

································
Jaume Vila
Athlon XP 2600+
Asus A7N8X Deluxe
2 x 256 MB Kingston
·································

Lei tu correo, (por cierto, soy Jose Manuel, no Jose Maria) en el que textualmente citabas que te habias quedado a c o j o n a d o al leer esto:
http://www.multingles.net/docs/razones.htm

Y el articulo está incompleto. El problema no es el blaster en si, sino los scripts metodicos que estan publicados en:
http://cyruxnet.com.ar/rpcxploit2.htm#windows

y muchos de ellos modificados y distribuidos como ntrootkits al objeto de capturar masivamente informacion de los PC's infectados INMEDIATAMENTE a la infeccion.

Despues de eso, si duermes tranquilo creo que hay un problema.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Manuel Rubio" wrote in message news:08c501c3cfb1$2f449290$
Para Jose Manuel Tella Llop

Querido Jose Maria:

En absoluto pretendo polemizar contigo sobre el
virus "Blaster" motivado por mis post sobre como acabar
con este bicho.

Yo se que tu eres partidario del formateo y he leido tus
articulos de http://www.multingles.net/docs/rpc.htm sobre
la vulnerabilidad al RPC, que permite que no sólo haya
podido entrar en la maquina infectada el gusano Blaster
sino que también con ello cualquier hacker o script-
kiddie ha podido entrar en la misma.

Te he mandado un correo personal con mi admiración por lo
que sabes y-francamente-desde aqui repito que estoy
completamente de acuerdo con tu posición pero me parece
que tambien exageras un poco.

En terminos comparativos,lo que tu propones a todo el que
pille el "Blaster" es algo así como si a todos los que
tuviesen el SIDA las autoridades sanitarias les
aconsejasen "cortar por lo sano" y hacerles una eutanasia
para "eliminarlos" y de este modo asegurar mejor la salud.

Sin embargo-querido Jose Maria- debes de tener en cuenta
que a todo el mundo no le apetece el coñazo de formatear
su maquina y empezar "desde cero" (aunque convengo
contigo que es la mejor solución sin ningún genero de
dudas).

Yo no creo que este haciendo ningun daño dando unos
consejos que no he sacado de mi modestísima cabeza sino
despues de leer mucho sobre este virus y lo que dicen
compañias antivirus tan prestigiosas como Panda Software
o Symantec (Norton).

Es cierto que con el virus "Blaster"cualquier hacker,ha
podido entrar en tu máquina,pero hay una cosa que es
la "teoria de la probabilidad" y eso no siempre ocurre.

Según dice el "Virusometro de Panda" en todos el mundo
hay un 0,42% de equipos infectados por el "Blaster" y un
0,39% por el "Blaster.E"

Y esto va a seguir porque este gusano esta constantemente
escaneando subredes IP de clase C,empezando por una
direccion x.y.z.0,donde x,y,z,son valores aleatorios y
barre el rango de direcciones,incrementando de uno en uno
el cuarto octeto.Si en alguna de estas direcciones IP se
encuentra con un sistema vulnerable que aún no ha sido
infectado(y sin el "parche" de Microsoft),entonces le
enviará datos al puerto 135 con el fin de provocar el
desbordamiento del búfer.Este desbordamiento permite al
gusano abrir en el sistema infectado una shell remota.A
esa shell se le envian los comandos correspondientes para
que el sistema,mediante protocolo TFTP descargue el
fichero "msblast.exe" (u otro parecido" en el directorio
de sistema de Windows "\system32" y ademas se le ordenará
al sistema infectado,mediante la shell remota indicada
que ejecute ese fichero (que es el que se acaba de
descargar y el que contiene el gusano)

Que por esa "shell remota" un "hacker" o un "script-
kiddie" se puede "colar" en tu sistema sin ningún género
de duda,pero eso es UN AZAR y de 100.000 equipos
infectados a lo mejor le pasa a 20 o 30 (depende la "mala
leche" que haya en ese momento en la Red) pero tú no
puedes acusarme a mí de "estar haciendo daño" por
compartir mi experiencia con gente que está "agobiada"
con este engendro y tú la única solucion que le ofreces
es FORMATEAR Y EMPEZAR DESDE CERO.

Yo convengo contigo en que esa la mejor solución pero si
tienes mogollón de programas instalados y no te APETECE
EMPEZAR DESDE CERO los consejos que yo doy (que no son
mios sino sacados de Compañias Antivirus) pueden ser OTRA
ALTERNATIVA a lo que tu ofreces.

Asi es que en la libertad de estas "News" que cada cual
haga lo que le de la gana pero todos colaboramos con
buena intencion.

¡Feliz Año 2004 a todos!...

El acabar con el "engendro" es de niños chicos: se

elimina una clave en el registro y se pone el parche.

Pero eso es usar la postura del "avestruz" y además

estar necesitado de ella. He visto en varios post que
aconsejas este tipo de cosas, y creo que no eres
consciente del daño que estás haciendo.

Si se cuentan las cosas... hay que contar TODA la verdad.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.


"Manuel Rubio" wrote in message

news:013e01c3cf09$4b7b1a40$

Mira la siguiente pagina:

http://securityresponse.symantec.co...enc/data/w

3

2.blaster.e.worm.html

Esta en ingles pero explica muy bien como acabar con
este "engendro".

El nombre del objeto es C:\Windows\System32\MSLAUGH.EXE
He intentado eliminarlo por todos los medios que

conozco:

..Tengo los parches MS03-026 y MS03-039
..He deshabilitado los puertos 135,139,445 y 593 TCP
..El 69 UDP
..El4444 TCP
El antivirus lo detecta pero no puede repararlo
¿Qué puedo hacer?
.

.

Completamente de acuerdo Jose Manuel.

Ciertamente "acojona" leer tu articulo y puedes estar
seguro de que si alguna vez me infecto con uno de
estos "bichos" seguiré tus consejos.

Tu citas en tu articulo "mi máquina es, o debe ser, al
menos tan preciada como una máquina en una empresa... y
muchas veces, la información que posee es mucho más
delicada, o puede hacer mucho más daño a mi bolsillo."

Lo que pasa es que en la Red hay mucha gente a la que eso
le trae sin cuidado porque su PC solo tiene cuatro juegos
y algunas canciones y se divierten chateando (y no
esperan de su equipo mas que les sirva para esa
distración) por eso se les "caen los palos del sombrajo"
(como decimos en mi tierra) si tiene que formatear porque
han pillado el virus.A esa gente me dirigia yo...(Muchos
de los post de gente que está infectada piden ayuda para
resolver el problema de que "no pueden instalar el parche
de Microsof").

Amigo Jose Manuel,yo solo queria ayudar un poco a esta
gente y nunca pensé que mi post sobre el "Blaster"
generara tanta polémica

Lei tu correo, (por cierto, soy Jose Manuel, no Jose

Maria) en el que textualmente citabas que te habias
quedado a c o j o n a d o al leer esto:

http://www.multingles.net/docs/razones.htm

Y el articulo está incompleto. El problema no es el

blaster en si, sino los scripts metodicos que estan
publicados en:

http://cyruxnet.com.ar/rpcxploit2.htm#windows

y muchos de ellos modificados y distribuidos como

ntrootkits al objeto de capturar masivamente informacion
de los PC's infectados INMEDIATAMENTE a la infeccion.

Despues de eso, si duermes tranquilo creo que

hay un problema.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.


"Manuel Rubio" wrote in message

news:08c501c3cfb1$2f449290$

Para Jose Manuel Tella Llop

Querido Jose Maria:

En absoluto pretendo polemizar contigo sobre el
virus "Blaster" motivado por mis post sobre como acabar
con este bicho.

Yo se que tu eres partidario del formateo y he leido tus
articulos de http://www.multingles.net/docs/rpc.htm

sobre

la vulnerabilidad al RPC, que permite que no sólo haya
podido entrar en la maquina infectada el gusano Blaster
sino que también con ello cualquier hacker o script-
kiddie ha podido entrar en la misma.

Te he mandado un correo personal con mi admiración por

lo

que sabes y-francamente-desde aqui repito que estoy
completamente de acuerdo con tu posición pero me parece
que tambien exageras un poco.

En terminos comparativos,lo que tu propones a todo el

que

pille el "Blaster" es algo así como si a todos los que
tuviesen el SIDA las autoridades sanitarias les
aconsejasen "cortar por lo sano" y hacerles una

eutanasia

para "eliminarlos" y de este modo asegurar mejor la

salud.

Sin embargo-querido Jose Maria- debes de tener en cuenta
que a todo el mundo no le apetece el coñazo de formatear
su maquina y empezar "desde cero" (aunque convengo
contigo que es la mejor solución sin ningún genero de
dudas).

Yo no creo que este haciendo ningun daño dando unos
consejos que no he sacado de mi modestísima cabeza sino
despues de leer mucho sobre este virus y lo que dicen
compañias antivirus tan prestigiosas como Panda Software
o Symantec (Norton).

Es cierto que con el virus "Blaster"cualquier hacker,ha
podido entrar en tu máquina,pero hay una cosa que es
la "teoria de la probabilidad" y eso no siempre ocurre.

Según dice el "Virusometro de Panda" en todos el mundo
hay un 0,42% de equipos infectados por el "Blaster" y un
0,39% por el "Blaster.E"

Y esto va a seguir porque este gusano esta

constantemente

escaneando subredes IP de clase C,empezando por una
direccion x.y.z.0,donde x,y,z,son valores aleatorios y
barre el rango de direcciones,incrementando de uno en

uno

el cuarto octeto.Si en alguna de estas direcciones IP se
encuentra con un sistema vulnerable que aún no ha sido
infectado(y sin el "parche" de Microsoft),entonces le
enviará datos al puerto 135 con el fin de provocar el
desbordamiento del búfer.Este desbordamiento permite al
gusano abrir en el sistema infectado una shell remota.A
esa shell se le envian los comandos correspondientes

para

que el sistema,mediante protocolo TFTP descargue el
fichero "msblast.exe" (u otro parecido" en el directorio
de sistema de Windows "\system32" y ademas se le

ordenará

al sistema infectado,mediante la shell remota indicada
que ejecute ese fichero (que es el que se acaba de
descargar y el que contiene el gusano)

Que por esa "shell remota" un "hacker" o un "script-
kiddie" se puede "colar" en tu sistema sin ningún género
de duda,pero eso es UN AZAR y de 100.000 equipos
infectados a lo mejor le pasa a 20 o 30 (depende

la "mala

leche" que haya en ese momento en la Red) pero tú no
puedes acusarme a mí de "estar haciendo daño" por
compartir mi experiencia con gente que está "agobiada"
con este engendro y tú la única solucion que le ofreces
es FORMATEAR Y EMPEZAR DESDE CERO.

Yo convengo contigo en que esa la mejor solución pero si
tienes mogollón de programas instalados y no te APETECE
EMPEZAR DESDE CERO los consejos que yo doy (que no son
mios sino sacados de Compañias Antivirus) pueden ser

OTRA

ALTERNATIVA a lo que tu ofreces.

Asi es que en la libertad de estas "News" que cada cual
haga lo que le de la gana pero todos colaboramos con
buena intencion.

¡Feliz Año 2004 a todos!...

El acabar con el "engendro" es de niños chicos: se

elimina una clave en el registro y se pone el parche.

Pero eso es usar la postura del "avestruz" y además

estar necesitado de ella. He visto en varios post que
aconsejas este tipo de cosas, y creo que no eres
consciente del daño que estás haciendo.

Si se cuentan las cosas... hay que contar TODA la

verdad.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías

de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties,

and

confers no rights.

You assume all risk for your use.


"Manuel Rubio" wrote in message

news:013e01c3cf09$4b7b1a40$

Mira la siguiente pagina:

http://securityresponse.symantec.co...venc/data/

w

3

2.blaster.e.worm.html

Esta en ingles pero explica muy bien como acabar con
este "engendro".

El nombre del objeto es C:\Windows\System32\MSLAUGH.EXE
He intentado eliminarlo por todos los medios que

conozco:

..Tengo los parches MS03-026 y MS03-039
..He deshabilitado los puertos 135,139,445 y 593 TCP
..El 69 UDP
..El4444 TCP
El antivirus lo detecta pero no puede repararlo
¿Qué puedo hacer?
.

.

.