VIRUS

Si te aparece un mensaje como este...

****************************************
"Se esta apagando el sistema. Guarde todo trabajo en curso y cierre la
sesion. Se perdera cualquier cambio que no haya sido guardado. El apagado ha
sido iniciado por NT AUTHORITY\SYSTEM

Tiempo restante de apagado: 00.00.XX

Mensaje: Windows debe reiniciar ahora porque el servicio Llamada a
procedimiento remoto (RPC) termino de forma inesperada.
****************************************

... es que han entrado en tu equipo aprovechando una vulnerabilidad en el
sistema. Esta vulnerabilidad ya estaba corregida por Microsoft mediante un
parche desde el dia 17 de Julio pasado. Con el parche instalado o
simplemente con el firewall de XP activado no deberias haber tenido
problemas. Pero si no ha sido asi, es decir, si no tenías el parche aplicado
y/o el firewall activado y te ha aparecido el mensaje anterior, la SOLUCION
OPTIMA es:

- Desconectar el cable que te da conexión a internet
- Formatear
- Instalar XP
- Nada mas instalar: ACTIVAR EL FIREWALL de XP (propiedades de la conexion a
Internet, pestaña "avanzadas", marcar "proteger mi equipo")
- Conectar el cable que te da conexion a internet
- Aplicar TODOS los parches desde Windows Update
(windowsupdate.microsoft.com), especialmente este parche:
http://download.microsoft.com/downl...86-ESN.exe

¿Formatear o no formatear?
Sí, formatear, por la sencilla razon de que tu maquina ha estado expuesta a
que te introduzcan cualquier virus: los conocidos "msblast", "rpcsdbot.a" y
todas las variaciones aparecidas, pero ¿y los desconocidos? En el grupo
es.comp.hackers, algunos imbeciles se jactan de haber introducido virus
(concretamente troyanos) de su propia cosecha, normalmente indetectables por
los antivirus. Asi, insisto, la solución optima pasa por formatear. Utilizar
unicamente las herramientas de eliminacion de los virus conocidos y
detectables es una irresponsabilidad.

Informacion Adicional

Tutorial Instalación de Windows XP
http://www.marcmcoll.net/Tutorials/...lar_xp.htm

Responsabilidad y educación del Internauta
http://www.vsantivirus.com/lz-domino.htm

Microsoft
http://www.microsoft.com/downloads/...layLang=es
http://www.microsoft.com/spain/tech...032-IT.asp

Antivirus
http://www.vsantivirus.com/lovsan-a.htm
http://www.vsantivirus.com/lovsan-b.htm
http://www.vsantivirus.com/lovsan-c.htm
http://www.vsantivirus.com/lovsan-d.htm
http://www.vsantivirus.com/nachi-a.htm
http://www.vsantivirus.com/randex-e.htm
http://www.vsantivirus.com/randex-f.htm
http://www.vsantivirus.com/fresh20-a.htm
http://www.alerta-antivirus.com/vir...s.html?cod(80
http://www.alerta-antivirus.com/vir...s.html?cod(84&PHPSESSID=fd3d1a06bf9807d5ad252f932ae353ee
http://www.alerta-antivirus.com/vir...s.html?cod(86
http://www.alerta-antivirus.com/vir...s.html?cod(89&PHPSESSID=6cad23c6f4ddee23057364bd0542f74d
http://www.alerta-antivirus.com/vir...s.html?cod(87&PHPSESSID=6cad23c6f4ddee23057364bd0542f74d
http://www.alerta-antivirus.com/vir...s.html?cod)06&PHPSESSID=6a3bbe6244cbe7cb1b70f8b435e83332
http://www.trendmicro.com/vinfo/vir..._MSBLAST.A
http://es.trendmicro-europe.com/ent..._MSBLAST.B
http://es.trendmicro-europe.com/ent..._MSBLAST.C
http://www.trendmicro.com/vinfo/vir..._MSBLAST.D
http://es.trendmicro-europe.com/ent..._MSBLAST.E
http://www.trendmicro.com/vinfo/vir...RPCSDBOT.A
http://www.pandasoftware.es/virus_i...t=det&
http://vil.mcafee.com/dispVirus.asp?virus_k0547
http://www.symantec.com/avcenter/ve....worm.html
http://www.perantivirus.com/sosviru...sblast.htm
http://www.enciclopediavirus.com/vi...s.php?idI7
http://www.sophos.com/virusinfo/ana...stera.html
http://www3.ca.com/solutions/collateral.asp?CT'081&CIDH952

JM Tella Llop el pasado dia 6 de Agosto
Aviso previo al caos:
http://groups.google.com/groups?hl=....gbl#link1
Artículo sobre el exploit:
http://worldseth.sytes.net:8000/articulos/archivos/jose_manuel_tella/vulnerabilidad_explotacion_rpc.pdf

C&P Post Virus RPC v2.15

Saludos,

Manuel F.


"CHIKI" escribió en el mensaje
news:084901c36b09$c0050ce0$

DESDE ACE DOS SEMANAS SE ME APAGA EL CPU Y ME DICE QUE LO
A PRODUCDIDO NT AUTHORYTI\SYSTEM.SOBRE TODO CUANDO
ENGANCHO LA BANDA ANCHA O INTERNET. ME TIENE LOCA QUE
PUEDO HACER. NECESITO AYUDA DE UNO DE TAN AMABLE DE
USTEDES, GRACIAS, ESPERO SUS NOTICIAS MI MOVIL ES EL
605073791

VULNERABILIDAD Y EXPLOTACION DEL RPC
http://www.multingles.net/docs/rpc.htm

Como realizar una instalacion limpia:
http://www.marcmcoll.net/Tutorials/...lar_xp.htm

Alejandro Curquejo
MS MVP DTS
Windows XP


Siempre Aprendiendo ;-)

La informacion contenida en este mensaje se proporciona "tal cual"
sin garantias de ninguna clase y no otorga ningun derecho, usted
asume todo el riesgo de poner en practica lo aqui recomendado

"CHIKI" escribió en el mensaje
news:084901c36b09$c0050ce0$

DESDE ACE DOS SEMANAS SE ME APAGA EL CPU Y ME DICE QUE LO
A PRODUCDIDO NT AUTHORYTI\SYSTEM.SOBRE TODO CUANDO
ENGANCHO LA BANDA ANCHA O INTERNET. ME TIENE LOCA QUE
PUEDO HACER. NECESITO AYUDA DE UNO DE TAN AMABLE DE
USTEDES, GRACIAS, ESPERO SUS NOTICIAS MI MOVIL ES EL
605073791

Hola,

Pueden leer información sobre el virus blaster en:

http://www.microsoft.com/spain/tech...laster.asp

Normalmente es muy conveniente mantener el sistema actualizado con las actualizaciones de:

http://windowsupdate.microsoft.com/

enrique
Microsoft Corporation

From: "CHIKI"
Sender: "CHIKI"
Subject: VIRUS
Date: Mon, 25 Aug 2003 06:06:51 -0700
Lines: 6
Message-ID: <084901c36b09$c0050ce0$
MIME-Version: 1.0
X-Newsreader: Microsoft CDO for Windows 2000
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4910.0300
Thread-Index: AcNrCcAF8QuVRvl2QUSw7mu4ndwrVw=>Newsgroups: microsoft.public.es.windowsxp.seguridad
Path: cpmsftngxa06.phx.gbl
Xref: cpmsftngxa06.phx.gbl microsoft.public.es.windowsxp.seguridad:29779
NNTP-Posting-Host: TK2MSFTNGXA13 10.40.1.165
X-Tomcat-NG: microsoft.public.es.windowsxp.seguridad

DESDE ACE DOS SEMANAS SE ME APAGA EL CPU Y ME DICE QUE LO
A PRODUCDIDO NT AUTHORYTI\SYSTEM.SOBRE TODO CUANDO
ENGANCHO LA BANDA ANCHA O INTERNET. ME TIENE LOCA QUE
PUEDO HACER. NECESITO AYUDA DE UNO DE TAN AMABLE DE
USTEDES, GRACIAS, ESPERO SUS NOTICIAS MI MOVIL ES EL
605073791

Esta contribución no conlleva ninguna garantía. El uso de código aquí incluido está sujeto a los términos que se especifican en
http://www.microsoft.com/info/cpyright.htm
Nota: Para el mayor beneficio de toda la comunidad, todas las respuestas a este mensaje deberían dirigirse al grupo de noticias/discusión donde se
originaron.


This posting is provided "AS IS" with no warranties, and confers no rights. Use of included script samples are subject to the terms specified at
http://www.microsoft.com/info/cpyright.htm

Note: For the benefit of the community-at-large, all responses to this message are best directed to the newsgroup/thread from which they originated.

Para quitarlo hay mil maneras. Incluso yo te lo quito a mano. Pero eso NO es solucion en absoluto. Es usar la postura del avestruz.

http://www.vsantivirus.com/faq-lovsan.htm#11

El articulo anterior ratifica mis dos articulos previos:

http://www.multingles.net/docs/rpc.htm
http://www.multingles.net/docs/razones.htm

E incluso, en el propio articulo de Microsoft:

Virus Alert About the W32.Blaster.Worm Worm
http://support.microsoft.com/?kbid‚6955

En un determinado párrafo Microsoft nos está dando la razón:
<pego>
Recovery
Best practices for security suggest that you perform a complete "clean" installation on a previously compromised computer to remove any undiscovered exploits that can lead to a future compromise.
</pego>


Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Enrique López Díaz (MSFT)" wrote in message news:

Hola,

Pueden leer información sobre el virus blaster en:

http://www.microsoft.com/spain/tech...laster.asp

Normalmente es muy conveniente mantener el sistema actualizado con las actualizaciones de:

http://windowsupdate.microsoft.com/

enrique
Microsoft Corporation


>From: "CHIKI"
>Sender: "CHIKI"
>Subject: VIRUS
>Date: Mon, 25 Aug 2003 06:06:51 -0700
>Lines: 6
>Message-ID: <084901c36b09$c0050ce0$
>MIME-Version: 1.0
>X-Newsreader: Microsoft CDO for Windows 2000
>X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4910.0300
>Thread-Index: AcNrCcAF8QuVRvl2QUSw7mu4ndwrVw=> >Newsgroups: microsoft.public.es.windowsxp.seguridad
>Path: cpmsftngxa06.phx.gbl
>Xref: cpmsftngxa06.phx.gbl microsoft.public.es.windowsxp.seguridad:29779
>NNTP-Posting-Host: TK2MSFTNGXA13 10.40.1.165
>X-Tomcat-NG: microsoft.public.es.windowsxp.seguridad
>
>DESDE ACE DOS SEMANAS SE ME APAGA EL CPU Y ME DICE QUE LO
>A PRODUCDIDO NT AUTHORYTI\SYSTEM.SOBRE TODO CUANDO
>ENGANCHO LA BANDA ANCHA O INTERNET. ME TIENE LOCA QUE
>PUEDO HACER. NECESITO AYUDA DE UNO DE TAN AMABLE DE
>USTEDES, GRACIAS, ESPERO SUS NOTICIAS MI MOVIL ES EL
>605073791
>

Esta contribución no conlleva ninguna garantía. El uso de código aquí incluido está sujeto a los términos que se especifican en
http://www.microsoft.com/info/cpyright.htm
Nota: Para el mayor beneficio de toda la comunidad, todas las respuestas a este mensaje deberían dirigirse al grupo de noticias/discusión donde se
originaron.


This posting is provided "AS IS" with no warranties, and confers no rights. Use of included script samples are subject to the terms specified at
http://www.microsoft.com/info/cpyright.htm

Note: For the benefit of the community-at-large, all responses to this message are best directed to the newsgroup/thread from which they originated.