Virus deshabilita el administrador, Solucionado.

http://www.taringa.net/posts/info/5717499/Virus-desabilita-el-administrador-Solucionado.html

W32/Rusty.A. Finaliza Administrador de Tareas, etc.

Nombre: W32/Rusty.A
Tipo: Gusano de Internet
Alias: WORM_RUSTY.A, W32.Rusty, Crusty, W32.Rusty@m
Fecha: 19/feb/03
Plataforma: Windows 32-bit
Tamao: 18,944 bytes
Reportado por: Trend Micro

Gusano residente en memoria, que se enva masivamente a direcciones de correo obtenidas de las
listas de contactos de Microsoft Outlook y Outlook Express en la mquina infectada. Utiliza
comandos MAPI (Messaging Application Programming Interface), para gestionar los envos.

Los mensajes poseen las siguientes caractersticas:

Asunto: [uno de los siguientes]

[vaco]
Check this out!
Important information for you. Read it immediately!
Mail Delivery System

Texto del mensaje: [uno de los siguientes]

[vaco]

Hey, try this file that I've found yesterday,

it's very useful!..check link
Http://www.%6%[***]tem/Body,.Html.%65x%65

See the attached file or go to

Http://www.%6[***]tem/TFAK.zip

The message cannot be represented in 7-bit ASCII

encoding and has been sent as a binary attachment

Datos adjuntos: [uno de los siguientes]

avpc antiav.exe
body,.html.exe
doc.exe

Cuando se ejecuta, crea los siguientes archivos:

c:avpc antiav.exe
c:body,.html.exe
c:program filesdmcpl.exe
c:program fileswinrarwinrar.exe
c:reshacker.exe
c:windowscrustyworm2004.exe
c:windowsdoc.exe
c:windowsmushy.exe
c:windowsnotepad.exe
c:windowssecurityemzy.exe
c:windowssystemdennis.exe
c:windowssystem32notepad.exe
c:windowssystem32sb4cw.exe

Si alguna de esas carpetas no existen, el archivo no es creado (por ejemplo, "Program files" no
existe por defecto en instalaciones de Windows en espaol). Algunas entradas aqu listadas
poseen errores y tampoco son creadas.

El gusano sobrescribe utilidades legtimas de Windows, como el bloc de notas (NOTEPAD.EXE).

Tambin se copia en las siguientes carpetas, para ejecutarse en cada reinicio de Windows (algunas
de estas carpetas no existen en Windows en espaol):

c:documents and settingsall usersstart menu

programsstartupvpfw30s.exe

c:windowsstart menuprogramsstartupf-prot.exe

c:winntprofilesall usersstart menu

programsstartupcpf9x206.exe

Adems, crea la siguiente entrada en el registro:

HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunServices
(Predeterminada) = C:WindowsSystem32NOTEPAD.EXE
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
Crusty = C rogram FilesDMCPL.EXE
El gusano finaliza la ejecucin de ciertas ventanas y deshabilita la posibilidad de invocar al
administrador de tareas (CTRL+ALT+SUPR).

Para lo primero, cierra todas las ventanas que posean el siguiente ttulo:

Command Prompt
LiveUpdate
Norton AntiVirus
Norton AntiVirus Quarantine
Payload
PC DOOR GUARD MANAGER
Quarantine
Registry Editor
RegRun II
System Restore
Windows Explorer
Windows Task Manager

Para lo segundo, el gusano crea el siguiente archivo para realizar los ataques distribuidos de
denegacin de servicio (DDoS):

c:windowscrustykill.bat

El ataque consiste en el envo continuo de paquetes ICMP (pings) a los siguientes sitios de
Internet:

www.microsoft.com
www.norton.com

Tambin deshabilita la posibilidad de llamar al Administrador de tareas, creando la siguiente

entrada en el registro:

HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem
DisableTaskmgr = "1"

Reparacin manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cul
detendr y advertir la conexin de este y cualquier otro malware con Internet, as como cualquier
intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), adems de ser un excelente cortafuegos, tambin
impide la ejecucin de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener
que actualizarlo con cada nueva versin de un virus).

Ms informacin:

Cmo configurar Zone Alarm 3.x

http://www.vsantivirus.com/za.htm

Antivirus

Actualice sus antivirus con las ltimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artculo:

Cmo iniciar su computadora en Modo a prueba de fallos.

http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.

Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:avpc antiav.exe
c:body,.html.exe
c:program filesdmcpl.exe
c:program fileswinrarwinrar.exe
c:reshacker.exe
c:windowscrustykill.bat
c:windowscrustyworm2004.exe
c:windowsdoc.exe
c:windowsmushy.exe
c:windowsnotepad.exe
c:windowssecurityemzy.exe
c:windowssystemdennis.exe
c:windowssystem32notepad.exe
c:windowssystem32sb4cw.exe

c:documents and settingsall usersstart menu

programsstartupvpfw30s.exe

c:windowsstart menuprogramsstartupf-prot.exe

c:winntprofilesall usersstart menu

programsstartupcpf9x206.exe

IMPORTANTE: C:WINDOWSNOTEPAD.EXE es el bloc de notas de Windows, brrelo solo si su

equipo ha sido realmente infectado con este gusano.

Pinche con el botn derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y

seleccione "Vaciar la papelera de reciclaje".

Editar el registro

Nota: algunas de las ramas en el registro aqu mencionadas, pueden no estar presentes ya que ello
depende de que versin de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y

borre la siguiente entrada:

Crusty

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre",

busque y borre la siguiente entrada:

(Predeterminada) = C:WindowsSystem32NOTEPAD.EXE

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Policies
System

7. Pinche en la carpeta "System" y en el panel de la derecha, bajo la columna "Nombre", busque y

borre la siguiente entrada:

DisableTaskmgr = "1"

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Cmo recuperar NOTEPAD.EXE

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalacin"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del
archivo a restaurar:
NOTEPAD.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalacin de Windows (en el
CD, generalmente es D:WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicacin
en el disco duro, donde se suelen copiar antes de una instalacin).

6. En "Guardar archivo en" asegrese de tener "C:WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe,
tal vez se genere ahora esta carpeta, generalmente: "C:WINDOWSHelpdeskSFC" .
En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botn "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a
restaurar:

NOTEPAD.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalacin de Windows (en el
CD, generalmente es D:WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicacin
en el disco duro, donde se suelen copiar antes de una instalacin).

6. En "Guardar archivo en" asegrese de tener "C:WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe,
tal vez se genere ahora esta carpeta, generalmente: "C:WINDOWSMSConfigsBackups" .
En Windows XP:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botn "Expandir archivo"

3. En "Archivo para restaurar" escriba el nombre del archivo a restaurar:

NOTEPAD.EXE

4. En "Restaurar desde" escriba el camino completo a los archivos de instalacin de Windows (en
el CD, generalmente es D:WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su
ubicacin en el disco duro, donde se suelen copiar antes de una instalacin).

6. En "Guardar archivo en" asegrese de tener "C:WINDOWS" (sin las comillas).

7. Pinche en "Expandir".

Informacin adicional

Activar el cortafuego de Windows XP (Internet Conexin Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet,

Conexiones de Red).

2. Pinche con el botn derecho sobre las distintas conexiones disponibles para conectarse a
Internet, y en "Conexin de Red de rea Local" y seleccione Propiedades en cada una de ellas.

3. En la lengeta "Avanzadas" tilde la opcin "Proteger mi equipo y mi red limitando o impidiendo

el acceso a l desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y adems visualizar aquellos con
atributos de "Oculto", proceda as:
1. Ejecute el Explorador de Windows

2. Seleccione el men 'Ver' (Windows 95/98/NT) o el men 'Herramientas' (Windows

Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengeta 'Ver'.

4. DESMARQUE la opcin "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opcin "Mostrar todos los archivos y carpetas ocultos" o
similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y
carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

FUENTE: http://www.vsantivirus.com/rusty-a.htm

SOBRE EL SEGUNDO PROBLEMA

W32/Lovsan.A (Blaster). Utiliza la falla en RPC

Nombre: W32/Lovsan.A (Blaster)
Tipo: Gusano de Internet, caballo de Troya
Alias: W32/Lovsan.worm, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm, Win32.Poza,
WORM_MSBLAST.A, W32/Blaster-A, Win32/Lovsan.A, Poza, Win32.Poza, Blaster
Fecha: 11/ago/03
Plataforma: Windows 2000, XP
Reportado por: varios
Tamao: 6,176 bytes
Este gusano fue reportado por primera vez el 11 de agosto de 2003, y rpidamente se propag a
travs de computadoras con Windows 2000 y XP principalmente, que no tenan el parche que
soluciona la vulnerabilidad en la interface RPC (Remote Procedure Call) que permite la ejecucin
arbitraria de cdigo (ver el parche MS03-026 en el siguiente artculo:
http://www.vsantivirus.com/vulms03-026-027-028.htm).

En ocasiones, y debido a un error en el exploit utilizado para aprovecharse de la falla mencionada,

se muestra el siguiente mensaje antes de que el sistema se cierre:
Apagar el sistema

Se est apagando el sistema. Guarde todo

trabajo en curso y cierre la sesin. Se perder
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHYSYSTEM

Tiempo restante
para el apagado: xx:xx:xx

Mensaje
Windows debe reiniciar ahora porque el
servicio Llamada a procedimiento
remoto (RPC) termin de forma inesperada

Esto ocurrir continuamente hasta que sea limpiada la infeccin y se tomen otras precauciones
que se detallan ms adelante en este artculo.

IMPORTANTE: Se debe tener en cuenta que este mensaje no es exclusivo de este gusano, sino de
cualquier cdigo maligno que se aproveche de ciertos exploits para la vulnerabilidad DCOM/RPC.
Adems de ello, recuerde que existen otros exploits que no producen este mensaje.

De todos modos, la aparicin de un mensaje similar, amerita como opcin ms segura, la

reinstalacin del sistema operativo, previo formateo. Esto es as, puesto que es un indicador de
que hay puertas abiertas en el PC infectado, y por consiguiente cualquier clase de archivo
malicioso pudo haber sido instalado (ms informacin al final del artculo).

Respecto a este gusano, tambin se han recibido reportes de otras inestabilidades causadas por el
mismo en un sistema infectado, con cuelgues incluidos. Esto afecta principalmente al componente
SVCHOST.EXE de Windows 2000 y XP (lanzador de servicios).

El gusano hace uso de los siguientes archivos:

msblast.exe
tftp.exe

MSBLAST.EXE es el gusano propiamente dicho, un archivo comprimido con la utilidad UPX.

TFTP.EXE es un cliente FTP (Trivial FTP), incluido por defecto en la instalacin de Windows 2000,
XP y Server 2003. El gusano simula su propio servidor TFTP. Este archivo no es propagado por el
gusano, y solo se menciona porque en los primeros reportes se haca referencia a l.

TFTP (Trivial File Transfer Protocol), es una versin simplificada de FTP (File Transfer Protocol), un
protocolo que permite la transferencia de archivos entre dos computadoras conectadas en red.

El gusano se propaga a travs del puerto TCP/135, copindose en las computadoras que no
poseen el parche para la vulnerabilidad DCOM/RPC. Esto solo ocurre en Windows 2000 y XP
(tambin es vulnerable Windows Server 2003).

Una forma fcil de evitar esto, es habilitar el cortafuegos del propio Windows XP, o instalar un
cortafuegos personal como Zone Alarm (recomendamos esta segunda opcin). Vea como hacerlo
al final del artculo.

RPC (Llamada a Procedimiento Remoto), es un protocolo que proporciona a Windows un

mecanismo de comunicacin entre procesos para que un programa que se est ejecutando en un
equipo ejecute fcilmente cdigo en un equipo remoto. La vulnerabilidad afecta las interfaces del
protocolo DCOM.

DCOM (Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto
de interfaces que permiten a los clientes y servidores comunicarse. Usando una interface DCOM,
un programa puede iniciar una Llamada de Procedimiento Remoto (RPC) a un objeto de otro
programa.

La falla mencionada (un desbordamiento de bfer), permite que se pueda ejecutar cdigo en
forma aleatoria, enviando mensajes construidos maliciosamente entre procesos especficos.

Cuando se ejecuta MSBLAST.EXE, el gusano crea un MUTE en memoria con el nombre de BILLY (un
MUTE es un semforo que le indica a otros procesos que el gusano est activo).

Luego, el gusano agrega la siguiente clave en el registro, para autoejecutarse en cada reinicio del
sistema:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Windows auto update = msblast.exe I just want to say LOVE YOU SAN!! bill

En ocasiones, solo ser el nombre del ejecutable en la misma rama del registro:

Windows auto update = msblast.exe

Una vez en memoria, el gusano escanea direcciones IP al azar, buscando otros sistemas
vulnerables en el puerto TCP/135.

Aprovechndose de la vulnerabilidad DCOM RPC, crea un shell remoto (ejecutando CMD.EXE) en

el puerto TCP/4444 de la mquina infectada (un SHELL es un intrprete de comandos que
interpreta y activa los comandos o utilidades introducidos por el usuario). No hay indicios de que
el puerto siga abierto despus del envo de las instrucciones.

Usando este shell, el gusano ejecuta un comando TFTP (get) para descargar el gusano
propiamente dicho en el directorio System32 de Windows (la carpeta "System32" est en
C:Windows (Windows XP) o C:WinNT (Windows NT y 2000), por defecto):

c:windowssystem32msblast.exe

Valindose de la mencionada vulnerabilidad, ejecuta luego a este archivo, repitiendo el ciclo visto
antes.

El gusano utiliza una rutina de propagacin que optimiza la infeccin en las redes ms cercanas al
host infectado. Para ello, genera 20 direcciones al azar por vez, tomando como base la direccin IP
actual de la computadora infectada.

Por ejemplo, si la direccin IP del host es AAA.BBB.CCC.DDD, las direcciones generadas por el
gusano al comienzo tendrn AAA y BBB iguales a los del host.

DDD siempre ser cero, y CCC ser un nmero al azar entre 0 y 253. Si el nmero es mayor de 20,
se le restar otro valor menor de 20 tambin al azar.

Despus de ello, alternar las siguientes combinaciones:

AAA ser un nmero de 1 a 254

BBB ser un nmero de 0 a 253
CCC ser un nmero de 0 a 253
DDD ser siempre 0

Con las direcciones generadas, el gusano escanea otras computadoras vulnerables, siempre hasta
20 direcciones IP al mismo tiempo.

Intentar conectarse al puerto 135 en cada una de las 20 computadoras examinadas por vez,
registrando cada conexin exitosa. En esos casos, utiliza uno de los exploits que se aprovechan de
la vulnerabilidad DCOM/RPC, para infectar a su vctima como ya se explic (el exploit, DCOM.C o
similar, est en el cdigo del propio gusano).

Como resultado de toda esta actividad, la subred local ser saturada con pedidos al puerto 135.
Adems de todo ello, el gusano est preparado para realizar ataques distribuidos de denegacin
de servicio (DDoS), al servidor de actualizaciones de Microsoft, con la intencin es impedir la
descarga del parche que evita que el propio gusano pueda propagarse.

Para ello, y comenzando el 16 de agosto de 2003, todas las mquinas infectadas pueden enviar en
forma masiva, una gran cantidad de paquetes de 40 bytes, en intervalos de 20 milisegundos, al
puerto 80 de "windowsupdate.com".

Los ataques se produciran desde el da 16 hasta el ltimo da de cada uno de los meses de enero,
febrero, marzo, abril, mayo, junio, julio y agosto. Tambin ocurriran cualquier da de los meses de
setiembre y diciembre.

El gusano tambin se ejecuta como un servidor TFTP en la computadora atacada usando el puerto
UDP/69, con lo que permite que la vctima sirva de host a otros usuarios para que descarguen de
all una copia del gusano (MSBLAST.EXE).

En su cdigo, el gusano contiene el siguiente texto (no mostrado al usuario):

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ?
Stop making money and fix your software!!

Estas son todas las cadenas presentes en el gusano:

bash-2.05b$ strings -8 /tmp/msblast.exec

!This program cannot be run in DOS mode.
msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
windows auto update
SOFTWAREMicrosoftWindowsCurrentVersionRun
ioctlsocket
inet_addr
inet_ntoa
recvfrom
setsockopt
gethostbyname
gethostname
closesocket
WSAStartup
WSACleanup
getpeername
getsockname
WSASocketA
InternetGetConnectedState
ExitProcess
ExitThread
GetCommandLineA
GetDateFormatA
GetLastError
GetModuleFileNameA
GetModuleHandleA
CloseHandle
GetTickCount
RtlUnwind
CreateMutexA
TerminateThread
CreateThread
RegCloseKey
RegCreateKeyExA
RegSetValueExA
__GetMainArgs
WS2_32.DLL
WININET.DLL
KERNEL32.DLL
ADVAPI32.DLL
CRTDLL.DLL

Recomendaciones:

Instalar parches descriptos en el siguiente artculo:

Vulnerabilidad RPC/DCOM: MS03-026

http://www.vsantivirus.com/vulms03-026-027-028.htm

Filtrar con un cortafuegos los siguientes puertos:

udp/135
udp/137
udp/138
tcp/135
tcp/445
tcp/593
tcp/69
udp/69

Reparacin manual (versiones A, B, C, D, E, F y G)

IMPORTANTE: La reparacin (manual y automtica), se ofrece solo como una forma segura de
acceder a nuestros archivos en forma temporal, inclusive para poder realizar algunos respaldos de
informacin que no hayamos hecho antes de la infeccin. Lamentablemente la infeccin con el
gusano Lovsan amerita acciones ms drsticas, como formatear y reinstalar el sistema operativo.
Estas razones se explican exhaustivamente en el siguiente enlace de "Preguntas frecuentes sobre
el Lovsan (Blaster)", "Porqu formatear despus del Lovsan (Blaster)?",
http://www.vsantivirus.com/faq-lovsan.htm#11

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cul
detendr y advertir la conexin de este y cualquier otro troyano con Internet, as como cualquier
intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), adems de ser un excelente cortafuegos, tambin
impide la ejecucin de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener
que actualizarlo con cada nueva versin de un virus).

Ms informacin:

Cmo configurar Zone Alarm 3.x

http://www.vsantivirus.com/za.htm

Deshabilitar las carpetas compartidas

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

Finalizando el proceso del virus en memoria

Para eliminar manualmente este gusano de un sistema infectado, siga estos pasos:

1. Detenga el proceso del virus en memoria, pulsando CTRL+SHIFT+ESC (Windows 2000 y XP).

2. En la lista de tareas, seale una de las siguientes (segn la versin):

MSBLAST.EXE
PENIS32.EXE
TEEKIDS.EXE
ROOT32.EXE
MSPATCH.EXE
MSLAUGH.EXE
ENBIEI.EXE
ENILORA.EXE

3. Seleccione el botn de finalizar tarea en la lengeta Procesos.

Antivirus

1. Actualice sus antivirus con las ltimas definiciones

2. Ejectelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre cualquiera de los siguientes archivos que
aparezca (segn la versin, aparecern unos u otros):

c:windowssystem32msblast.exe
c:windowssystem32penis32.exe
c:windowssystem32teekids.exe
c:windowssystem32root32.exe
c:windowssystem32mspatch.exe
c:windowssystem32mslaugh.exe
c:windowssystem32enbiei.exe
c:windowssystem32enilora.exe

Pinche con el botn derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y

seleccione "Vaciar la papelera de reciclaje".
Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y

borre cualquiera de las siguientes entradas (segn la versin):

Windows Auto Update

Microsoft Inet Xp..
Windows Root Account
Windows Automation
www.hidro.4t.com

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Reparacin automtica para todas las versiones

IMPORTANTE: La reparacin (manual y automtica), se ofrece solo como una forma segura de
acceder a nuestros archivos en forma temporal, inclusive para poder realizar algunos respaldos de
informacin que no hayamos hecho antes de la infeccin. Lamentablemente la infeccin con el
gusano Lovsan amerita acciones ms drsticas, como formatear y reinstalar el sistema operativo.
Estas razones se explican exhaustivamente en el siguiente enlace de "Preguntas frecuentes sobre
el Lovsan (Blaster)", "Porqu formatear despus del Lovsan (Blaster)?",
http://www.vsantivirus.com/faq-lovsan.htm#11

Herramienta de Kaspersky Antivirus

Descargue "CLRAV" de este enlace, donde hay instrucciones:
http://www.vsantivirus.com/util-clrav.htm
Copyright (C) Kaspersky Lab 2000-2003. All rights reserved.

Herramienta de F-Secure Corporation (actualizada 2/set/03)

Descargue "f-lovsan.zip" de este enlace, descomprmalo y ejecute f-lovsan.exe:
http://www.videosoft.net.uy/f-lovsan.zip (47 Kb)
Copyright (c) 2003, F-Secure Corporation. All rights reserved.

Herramienta de Computer Associates

Descargue y ejecute la herramienta "Cleaning utility for Win32/Poza.Worm 1.0.0" proporcionada
gratuitamente por Computer Associates (333Kb).

Cleaning utility for Win32/Poza.Worm 1.0.0

http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip
Copyright (c) 2003, Computer Associates International, Inc.

Descomprima el contenido del siguiente archivo en alguna carpeta, y luego haga doble clic sobre el
archivo CLNPOZA.COM.

IMPORTANTE: Se recomienda cerrar antes todas las ventanas activas, y desactivar cualquier otro
antivirus monitoreando.

La herramienta finaliza cualquier proceso en memoria del W32/Lovsan.A (o Win32/Poza.Worm).

Luego busca el archivo del gusano en todos los discos, lo elimina y finalmente modifica las claves
del registro.

Luego de la ejecucin, reinicie la computadora, y siga las dems instrucciones (instalacin de

parches, cortafuegos, etc.).

Herramienta de Symantec
Descargue la utilidad "FixBlast.exe" (164 Kb) y ejectela en su sistema:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
Copyright (C) Symantec 2003.

Herramienta de Panda Software

Descargue "Pqremove.com" de este enlace (1.2Mb) y ejectelo en su sistema:
http://updates.pandasoftware.com/pq/gen/blaster/pqremove.com
Copyright (C) Panda Software 2003.
Informacin adicional

Vulnerabilidad en RPC (Remote Procedure Call)

Este troyano se aprovecha de un desbordamiento de bfer en la interface RPC (Remote Procedure

Call) que permite la ejecucin arbitraria de cdigo. El Remote Procedure Call (RPC) permite el
intercambio de informacin entre equipos, y est presente por defecto en el protocolo TCP bajo el
puerto 135 en Windows NT 4.0, 2000 y XP.

Una falla en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, permite a un
atacante ejecutar cualquier cdigo con los privilegios locales (Mi PC).

Descargue y ejecute el parche correspondiente (MS03-026) desde el siguiente enlace:

Vulnerabilidad RPC/DCOM: MS03-026

http://www.vsantivirus.com/vulms03-026-027-028.htm

IMPORTANTE

Si usted utiliza su PC, o pertenece a una organizacin que por su naturaleza exige ser totalmente
segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema
operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

Tambin instale los parches mencionados ms adelante.

Luego cambie todas sus contraseas, incluso la de otros usuarios a los que tenga acceso desde su
computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las
acciones necesarias a fin de cambiar todas las claves de acceso, as como reinstalar Windows en
todas las computadoras.

Esta es la nica manera segura de no comprometer su seguridad ante los posibles cambios
realizados por el gusano.

Activar cortafuegos de Windows XP (Internet Conexin Firewall)

NOTA: Utilice solo un cortafuegos al mismo tiempo. Sugerimos ZoneAlarm, sin embargo, Windows
XP trae su propio cortafuegos (que posee algunas limitaciones). Si instala ZA, no active ICF
(Internet Conexin Firewall) o viceversa.

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red e Internet, Conexiones de Red.

2. Pinche con el botn derecho del mouse sobre "Conexin de Red de Area Local" y seleccione
Propiedades.

3. En la lengeta "Avanzadas" tilde la opcin "Proteger mi equipo y mi red limitando o impidiendo

el acceso a l desde Internet".

4. Seleccione Aceptar, etc.

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y adems visualizar aquellos con
atributos de "Oculto", proceda as:

1. Ejecute el Explorador de Windows

2. Seleccione el men 'Ver' (Windows 95/98/NT) o el men 'Herramientas' (Windows

Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengeta 'Ver'.

4. DESMARQUE la opcin "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opcin "Mostrar todos los archivos y carpetas ocultos" o
similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y
carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar
correctamente este virus de su computadora, deber deshabilitar antes de cualquier accin, la
herramienta "Restaurar sistema" como se indica en estos artculos:

Limpieza de virus en Windows Me

http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

http://www.vsantivirus.com/faq-winxp.htm

Otras versiones:

W32/Lovsan.B (Blaster). Utiliza "penis32.exe"

http://www.vsantivirus.com/lovsan-b.htm

W32/Lovsan.C (Blaster). Utiliza "teekids.exe"

http://www.vsantivirus.com/lovsan-c.htm

W32/Lovsan.D (Blaster). Utiliza "mspatch.exe"

http://www.vsantivirus.com/lovsan-d.htm

W32/Lovsan.E (Blaster). Utiliza "mslaugh.exe"

http://www.vsantivirus.com/lovsan-e.htm

W32/Lovsan.F (Blaster). Utiliza "enbiei.exe"

http://www.vsantivirus.com/lovsan-e.htm

W32/Lovsan.G (Blaster). Utiliza "enilora.exe"

http://www.vsantivirus.com/lovsan-g.htm

Ms informacin:

Preguntas frecuentes sobre el Lovsan (Blaster)

http://www.vsantivirus.com/faq-lovsan.htm

Actualizaciones:

12/ago/03 - Herramienta de Symantec

12/ago/03 - Herramienta de Panda Software
14/ago/03 - Limpieza versiones B y C
14/ago/03 - Herramienta de Kaspersky
16/ago/03 - Herramienta de F-Secure
16/ago/03 - Enlace a FAQ Lovsan.A
17/ago/03 - Se resalta la necesidad de formatear
19/ago/03 - Limpieza versin D
19/ago/03 - Borrado manual de los archivos (segn la versin)
28/ago/03 - Limpieza versin E
01/set/03 - Limpieza versin F
02/set/03 - Actualizacin herramienta de F-Secure
15/set/03 - Limpieza versin G