El virus LovSan/Blaster

Noviembre 2017

Introducción al virus LovSan

Al aparecer en el verano de 2003, LovSan (también conocido como W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, y Win32.Poza.B) es el primer virus cuyo procedimiento consiste en explotar la falla de seguridad en los protocolos RPC/DCOM (Remote Procedure Call (Llamada a Procedimiento Remoto)) en Microsoft Windows. Esta falla permite que se comuniquen los procesos remotos. Al explotar dicha falla con un desbordamiento de búfer, un software dañino (como ser el virus LovSan) puede tomar el control de una máquina vulnerable. Los sistemas como Windows NT 4.0, 2000, XP y Windows Server 2003 están todos afectados.

¿Cómo trabaja este virus?

El gusano LovSan / Blaster está programado para analizar una cantidad aleatoria de direcciones IP en busca de sistemas vulnerables a la falla del RPC en el puerto 135.

Cuando se encuentra con una máquina vulnerable, el gusano abre un shell remoto en el puerto TCP 4444, y hace que el ordenador remoto descargue una copia del gusano en el directorio %WinDir%\system32 al ejecutar el comando TFTP desde la máquina infectada (puerto UDP 69) para comenzar con la transferencia del archivo.

Una vez descargado, el archivo se ejecuta, y luego el virus crea entradas en el registro para que se ejecute nuevamente en forma automática cada vez que el ordenador se reinicia:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
    

Aún más, el virus LovSan/Blaster ataca el servicio Microsoft Windows Update para afectar así las actualizaciones de los equipos vulnerables.

Síntomas de infección

La explotación de la vulnerabilidad del RPC provoca varios errores en el funcionamiento de los sistemas afectados relacionados a la desactivación del RPC (el proceso svchost.exe / rpcss.exe). Los sistemas vulnerables tienen los siguientes síntomas:

  • Las opciones Copiar/Pegar son defectuosas o no se pueden utilizar
  • Abrir un hipervínculo en una nueva ventana es imposible
  • Mover los íconos es también imposible
  • La búsqueda de archivos de Windows es irregular
  • El puerto 135/TCP está cerrado
  • Windows XP se reinicia: El sistema se reinicia constantemente por NT AUTHORITY\SYSTEM con el/los siguiente/s mensaje/s:

    Ahora, Windows debe reiniciarse debido a la inesperada finalización del servicio de Llamada por Procedimiento Remoto (RPC, por sus siglas en inglés).
    El sistema se cerrará en 60 segundos. Guarde todos los trabajos sin terminar y cierre la sesión. NT AUTHORITY/SYSTEM inició este cierre de sistema. Windows debe reiniciarse ahora

Erradicación del virus

El mejor método para erradicar el virus LovScan es, en primer lugar, desinfectar el sistema mediante la siguiente herramienta de desinfección:
Descargue la herramienta de desinfección

Si su sistema se reinicia constantemente, debe deshabilitar el reinicio automático:
  • Primero, vaya a Inicio / Ejecutar y luego introduzca el siguiente comando para prevenir que el ordenador se reinicie constantemente:
    shutdown -a
  • Haga clic con el botón derecho del ratón en Mi PC
  • Haga clic en Propiedades / Opciones Avanzadas / Inicio y Recuperación / Configuración
  • Deshabilite la opción de "reinicio automático".
Puede volver a habilitar esta opción una vez que su sistema funcione con normalidad nuevamente.

Luego, debería actualizar el sistema, ya sea mediante el uso de Windows Update o bajando e instalando el parche que se adecue a su sistema operativo:

Más aún, ya que el virus se propaga mediante el sistema de red de Microsoft Windows, se recomienda encarecidamente instalar un firewall personal en las máquinas que estén conectadas a Internet, y también filtrar los puertos TCP/69, TCP/135 a TCP/139 y TCP/4444.

Más información con respecto al virus

Última actualización: 16 de octubre de 2008 a las 15:43 por Jeff.
El documento «El virus LovSan/Blaster» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.