Alerta de virus acerca del gusano Blaster y sus variantes

El 11 de agosto de 2003, Microsoft comenzó a investigar un gusano del que informaron los Servicios de soporte técnico (PSS) de Microsoft, tras lo que Microsoft PSS Security Team emitió una alerta para informar a los clientes acerca del nuevo gusano. Un gusano es un tipo de virus informático que generalmente se extiende sin intervención del usuario y que distribuye en las redes (como Internet) copias completas de sí mismo (normalmente modificadas). Generalmente conocido como "Blaster", este nuevo gusano explota la vulnerabilidad tratada en el boletín de seguridad de Microsoft MS03-026 (823980) para extenderse por las redes utilizando los puertos de llamada a procedimiento remoto (RPC) en equipos que ejecutan cualquiera de los productos enumerados al principio de este artículo.

Este artículo contiene información, destinada a administradores de red y profesionales de IT, para prevenir y recuperarse de una infección del gusano Blaster y sus variantes. El gusano y sus variantes también se conocen como W32.Blaster.Worm, W32.Blaster.C.Worm, W32.Blaster.B.Worm, W32.Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro) y Win32.Posa.Worm (Computer Associates). Para obtener información adicional acerca de la recuperación tras este gusano, póngase en contacto con su proveedor de software antivirus. Para obtener información adicional acerca de los proveedores de software antivirus, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Si es un usuario doméstico, visite el siguiente sitio Web de Microsoft para conocer los pasos que le ayudarán a proteger su equipo y a recuperarse si el equipo se ha infectado con el gusano Blaster: Para obtener información adicional acerca de un gusano que es similar al gusano Blaster y que explota las vulnerabilidades tratadas por los boletines de seguridad de Microsoft MS03-026 (823980) y MS03-007 (815021), haga clic en el artículo siguiente para verlo en Microsoft Knowledge Base:

Notas

• Su equipo no es vulnerable al gusano Blaster si instaló la revisión de seguridad 823980 (MS03-026) antes del 11 de agosto de 2003 (la fecha en la que se descubrió este gusano). No tiene que hacer nada si instaló la revisión de seguridad 823980 (MS03-026) antes del 11 de agosto de 2003.
• Microsoft ha realizado pruebas en Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP y Windows Server 2003 para comprobar si estos productos se ven afectados por las vulnerabilidades descritas en el Boletín de seguridad de Microsoft MS03-026 (823980). Windows Millennium Edition no incluye las características asociadas con estas vulnerabilidades. Las versiones anteriores ya no reciben soporte técnico, y pueden o no verse afectadas por estas vulnerabilidades. Para obtener información acerca de la duración del soporte técnico de Microsoft, visite el siguiente sitio Web de Microsoft:
  http://support.microsoft.com/default.aspx?scid=fh;es;lifecycle

  (http://support.microsoft.com/default.aspx?scid=fh;es;lifecycle)
  Las características asociadas a estas vulnerabilidades tampoco están incluidas con Windows 95, Windows 98 o Windows 98 Segunda edición, aunque DCOM esté instalado. No tiene que hacer nada si está utilizando alguna de estas versiones de Windows.
• Su equipo no es vulnerable al gusano Blaster si instaló el Service Pack 2 de Windows XP o el Paquete 1 de continuación de las actualizaciones para el Service Pack 4 de Windows 2000. La actualización de seguridad 824146 está incluida en estos Service Pack. No tiene que hacer nada más si instaló estos Service Pack. Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
  322389

  (http://support.microsoft.com/kb/322389/ )

  Cómo obtener el Service Pack más reciente para Windows XP
  891861

  (http://support.microsoft.com/kb/891861/ )

  Paquete 1 de continuación de las actualizaciones para el Service Pack 4 de Windows 2000 y problemas conocidos

Síntomas de la infección

Si su equipo está infectado con este gusano, puede no experimentar síntoma alguno o bien puede experimentar cualquiera de los siguientes:

• Es posible que aparezcan mensajes de error similares a los siguientes:
  Se cierra inesperadamente el servicio de Llamada a procedimiento remoto (RPC).
  Se está apagando el sistema. Guarde todos los trabajos en curso y cierre la sesión.
  Todos los cambios que no haya guardado se perderán.
  NT AUTHORITY\SYSTEM inició este apagado.
• El equipo puede apagarse o reiniciarse repetidamente, a intervalos aleatorios.
• En un equipo con Windows XP o Windows Server 2003 puede aparecer un cuadro de diálogo que le da la opción de informar del problema a Microsoft.
• Si utiliza Windows 2000 o Windows NT, puede recibir un mensaje de error de "Stop" en una pantalla azul.
• Puede encontrar un archivo llamado Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll en la carpeta Windows\System32.
• Puede encontrar en su equipo archivos TFTP* inusuales.

Detalles técnicos

Para conocer los detalles técnicos acerca de los cambios que realiza este gusano en su equipo, póngase en contacto con el proveedor de su software antivirus.

Para detectar este virus, busque un archivo denominado Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll en la carpeta Windows\System32, o descargue la firma de software antivirus más reciente de su proveedor de antivirus y examine su equipo.

Para buscar estos archivos:

1. Haga clic en Inicio y después en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar.
2. En el símbolo del sistema, escriba dir %systemroot%\system32\nombreArchivo.ext /a /s y presione ENTRAR, donde nombreArchivo.ext es Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll.
   
   Nota: repita el paso 2 en cada uno de estos nombres de archivo: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll y Yuetyutr.dll. Si encuentra alguno de esos archivos, el equipo puede estar infectado con el gusano. Si encuentra alguno de estos archivos, elimínelo y siga los pasos de la sección "Recuperación" de este artículo. Para eliminar el archivo, escriba del %systemroot%\system32\nombreArchivo.ext /a en el símbolo del sistema y presione ENTRAR.

Prevención

Para impedir que este virus infecte su equipo, siga estos pasos:

1. Active la característica Servidor de seguridad de conexión a Internet (ICF) en Windows XP, en Windows Server 2003, Standard Edition y en Windows Server 2003, Enterprise Edition; o use Servidor de seguridad básico, Microsoft Internet Security and Acceleration (ISA) Server 2000 o un servidor de seguridad de terceros para bloquear los puertos TCP 135, 139, 445 y 593; los puertos UDP 69 (TFTP), 135, 137 y 138; y el puerto TCP 4444 para shell de comando remoto.
   
   Para activar ICF en Windows XP o Windows Server 2003, siga estos pasos:
   1. Haga clic en Inicio y, después, en Panel de control.
   2. En el Panel de control, haga doble clic en Conexiones de red e Internet y, a continuación, haga clic en Conexiones de red.
   3. Haga clic con el botón secundario del mouse en la conexión en la que desee activar el Servidor de seguridad de conexión a Internet y, a continuación, haga clic en Propiedades.
   4. Haga clic en la ficha Avanzadas y, luego, active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet.
   Nota: algunas conexiones de acceso telefónico pueden no aparecer en la carpeta Conexiones de red. Por ejemplo, pueden no aparecer las conexiones de acceso telefónico de AOL y MSN. A veces podrá usar los pasos siguientes para activar ICF para una conexión que no aparece en la carpeta Conexiones de red. Si estos pasos no funcionan, póngase en contacto con su proveedor de servicios Internet (ISP) para obtener información acerca del servidor de seguridad y la conexión de Internet.
   1. Inicie Internet Explorer.
   2. En el menú Herramientas, haga clic en Opciones de Internet.
   3. Haga clic en la ficha Conexiones, haga clic en la conexión de acceso telefónico que usa para conectar con Internet y, después, haga clic en Configuración.
   4. En el área Configuración de acceso telefónico, haga clic en Propiedades.
   5. Haga clic en la ficha Avanzadas y, luego, active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet.
   Para obtener más información acerca de cómo activar el Servidor de seguridad de conexión a Internet en Windows XP o en Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   283673

   (http://support.microsoft.com/kb/283673/ )

   Cómo activar o desactivar el servidor de seguridad en Windows XP
   Nota: ICF sólo está disponible en Windows XP, en Windows Server 2003, Standard Edition y en Windows Server 2003, Enterprise Edition. Servidor de seguridad básico es un componente de Enrutamiento y acceso remoto que puede habilitar para cualquier interfaz pública en cualquier equipo que ejecute Enrutamiento y acceso remoto y que además sea miembro de la familia Windows Server 2003.
2. Este gusano utiliza una vulnerabilidad anunciada anteriormente como parte de su método de infección. Por ello debe asegurase de haber instalado la revisión de seguridad 823980 en todos los equipos para tratar la vulnerabilidad identificada en el boletín de seguridad de Microsoft MS03-026. Tenga en cuenta que la revisión de seguridad 824146 reemplaza a la revisión de seguridad 823980. Microsoft recommends that you install the 824146 security patch that also includes fixes for the issues that are addressed in Microsoft Security Bulletin MS03-026 (823980) Para obtener más información acerca de la revisión de seguridad 824146, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   824146

   (http://support.microsoft.com/kb/824146/ )

   MS03-039: Un desbordamiento del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados
   Para obtener más información acerca de la revisión de seguridad 823980 y los requisitos previos (como un Service Pack para su versión de Windows), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   823980

   (http://support.microsoft.com/kb/823980/ )

   MS03-026: Un desbordamiento de búfer en la interfaz RPC podría permitir la ejecución de código
   Para descargar la revisión de seguridad 824146, haga clic en el vínculo que corresponda a su sistema operativo:
   • Windows NT Workstation 4.0
     http://download.microsoft.com/download/c/c/a/ccadacf8-06e2-4095-bff1-58652abe66ff/WindowsNT4Workstation-KB824146-x86-esp.exe

     (http://download.microsoft.com/download/c/c/a/ccadacf8-06e2-4095-bff1-58652abe66ff/WindowsNT4Workstation-KB824146-x86-esp.exe)
   • Windows NT Server 4.0
     http://download.microsoft.com/download/d/0/7/d075d117-b588-4989-90c3-a27f212e3e1a/WindowsNT4Server-KB824146-x86-esp.exe

     (http://download.microsoft.com/download/d/0/7/d075d117-b588-4989-90c3-a27f212e3e1a/WindowsNT4Server-KB824146-x86-esp.exe)
   • Windows NT Server 4.0, Terminal Server Edition
     http://download.microsoft.com/download/8/9/1/891f9562-fe11-4447-85d5-ac2d1d74bc40/WindowsNT4TerminalServer-KB824146-x86-esp.exe

     (http://download.microsoft.com/download/8/9/1/891f9562-fe11-4447-85d5-ac2d1d74bc40/WindowsNT4TerminalServer-KB824146-x86-esp.exe)
   • Windows 2000
     http://download.microsoft.com/download/2/9/9/29960028-0b66-44f7-8ed0-994ae8c11475/Windows2000-KB824146-x86-ESN.exe

     (http://download.microsoft.com/download/2/9/9/29960028-0b66-44f7-8ed0-994ae8c11475/Windows2000-KB824146-x86-ESN.exe)
   • Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition y Windows XP Media Center Edition
     http://download.microsoft.com/download/7/b/a/7ba0fe51-1a63-4d03-b95c-2bbd22058987/WindowsXP-KB824146-x86-ESN.exe

     (http://download.microsoft.com/download/7/b/a/7ba0fe51-1a63-4d03-b95c-2bbd22058987/WindowsXP-KB824146-x86-ESN.exe)
   • Windows XP 64-Bit versión 2002
     http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe

     (http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe)
   • Windows Server 2003 (32-bit)
     http://download.microsoft.com/download/7/f/7/7f7ab766-e0c3-4d51-95bd-bece6c529e86/WindowsServer2003-KB824146-x86-ESN.exe

     (http://download.microsoft.com/download/7/f/7/7f7ab766-e0c3-4d51-95bd-bece6c529e86/WindowsServer2003-KB824146-x86-ESN.exe)
   • Windows Server 2003 (64-bit) y Windows XP 64-Bit versión 2003
     http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe

     (http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe)
3. Use la firma de detección de virus más reciente de su proveedor de antivirus para detectar nuevos virus y sus variantes.

Recuperación

Las prácticas de seguridad recomendadas sugieren una instalación "limpia" completa en un equipo previamente comprometido para quitar cualquier explotación sin descubrir que pueda comprometer la seguridad en el futuro. Para obtener más información, visite el siguiente sitio Web de Cert Advisory: Sin embargo, muchas compañías antivirus tienen herramientas escritas para quitar la explotación conocida asociada con este gusano particular. Para descargar de su proveedor antivirus la herramienta de quitar, use uno de los procedimientos siguientes, dependiendo de su sistema operativo.

Recuperación para Windows XP, Windows Server 2003, Standard Edition y Windows Server 2003, Enterprise Edition

1. Active la característica Servidor de seguridad de conexión a Internet (ICF) en Windows XP, en Windows Server 2003, Standard Edition y en Windows Server 2003, Enterprise Edition; o use Servidor de seguridad básico, Microsoft Internet Security and Acceleration (ISA) Server 2000 o un servidor de seguridad de terceros.
   
   Para activar ICF, siga estos pasos:
   1. Haga clic en Inicio y, después, en Panel de control.
   2. En el Panel de control, haga doble clic en Conexiones de red e Internet y, a continuación, haga clic en Conexiones de red.
   3. Haga clic con el botón secundario del mouse en la conexión en la que desee activar el Servidor de seguridad de conexión a Internet y, a continuación, haga clic en Propiedades.
   4. Haga clic en la ficha Avanzadas y, luego, active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet.
   Notas
   • Si el equipo se apaga o se reinicia repetidamente cuando intenta seguir estos pasos, desconéctese de Internet antes de activar el servidor de seguridad. Si conecta a Internet en una conexión de banda ancha, busque el cable que sale del módem DSL externo o de cable y, a continuación, desconecte el cable del módem o de la toma de teléfono. Si usa una conexión de acceso telefónico, busque el cable de teléfono que va desde el módem que está en el interior del equipo a la toma de teléfono y, a continuación, desconéctelo de la toma de teléfono o del equipo. Si no puede desconectarse de Internet, escriba la siguiente línea en el símbolo del sistema para configurar RPCSS para que no reinicie el equipo cuando el servicio falle:
     sc failure rpcss reset= 0 actions= restart
     Para restablecer RPCSS a la configuración de recuperación predeterminada después de completar estos pasos, escriba la siguiente línea en el símbolo del sistema
     sc failure rpcss reset= 0 actions= reboot/60000
   • Si tiene más de un equipo que comparte la conexión a Internet, use un servidor de seguridad sólo en el equipo directamente conectado a Internet. No use servidor de seguridad en los otros equipos que comparten la conexión a Internet. Si está ejecutando Windows XP, use el Asistente para configuración de red para activar ICF.
   • El uso de un servidor de seguridad no afectará a su servicio de correo electrónico o a la exploración del Web, pero un servidor de seguridad puede deshabilitar algunas características, servicios o software de Internet. Si se produce este comportamiento, quizá tenga que abrir algunos puertos del servidor de seguridad para que funcione alguna característica de Internet. Consulte la documentación que se incluye con el servicio de Internet que no está funcionando para determinar los puertos que debe abrir. Vea la documentación que se incluye con su servidor de seguridad para determinar cómo abrir estos puertos. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
     308127

     (http://support.microsoft.com/kb/308127/ )

     Cómo abrir puertos manualmente en el Servidor de seguridad de conexión a Internet de Windows XP
   • A veces podrá usar los pasos siguientes para activar ICF para una conexión que no aparece en la carpeta Conexiones de red. Si estos pasos no funcionan, póngase en contacto con su proveedor de servicios Internet (ISP) para obtener información acerca del servidor de seguridad y la conexión de Internet.
     1. Inicie Internet Explorer.
     2. En el menú Herramientas, haga clic en Opciones de Internet.
     3. Haga clic en la ficha Conexiones, haga clic en la conexión de acceso telefónico que usa para conectar con Internet y, después, haga clic en Configuración.
     4. En el área Configuración de acceso telefónico, haga clic en Propiedades.
     5. Haga clic en la ficha Avanzadas y, luego, active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet.
   Para obtener más información acerca de cómo activar el Servidor de seguridad de conexión a Internet en Windows XP o en Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   283673

   (http://support.microsoft.com/kb/283673/ )

   Cómo activar o desactivar el servidor de seguridad en Windows XP
   Nota: ICF sólo está disponible en Windows XP, en Windows Server 2003, Standard Edition y en Windows Server 2003, Enterprise Edition. Servidor de seguridad básico es un componente de Enrutamiento y acceso remoto que puede habilitar para cualquier interfaz pública en cualquier equipo que ejecute Enrutamiento y acceso remoto y que además sea miembro de la familia Windows Server 2003.
2. Descargue la revisión de seguridad 824146 e instálela en todos los equipos para tratar la vulnerabilidad identificada en los boletines de seguridad de Microsoft MS03-026 y MS03-039. Para descargar la revisión de seguridad 824146, haga clic en el vínculo correspondiente:
   
   Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition y Windows XP Media Center Edition
   http://download.microsoft.com/download/7/b/a/7ba0fe51-1a63-4d03-b95c-2bbd22058987/WindowsXP-KB824146-x86-ESN.exe

   (http://download.microsoft.com/download/7/b/a/7ba0fe51-1a63-4d03-b95c-2bbd22058987/WindowsXP-KB824146-x86-ESN.exe)
   Windows XP 64-Bit versión 2002
   http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe

   (http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe)
   Tenga en cuenta que la revisión de seguridad 824146 reemplaza a la 823980. Microsoft recomienda instalar la revisión de seguridad 824146, que también incluye las soluciones de los problemas descritos en el Boletín de seguridad de Microsoft MS03-026 (823980) Para obtener más información acerca de la revisión de seguridad 824146, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   824146

   (http://support.microsoft.com/kb/824146/ )

   MS03-039: Un desbordamiento del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados
   Para obtener más información acerca de la revisión de seguridad 823980, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   823980

   (http://support.microsoft.com/kb/823980/ )

   MS03-026: Un desbordamiento de búfer en la interfaz RPC podría permitir la ejecución de código
3. Instale o actualice el software de firmas de antivirus y ejecute después un examen completo del sistema.
4. Descargue de su proveedor de antivirus la herramienta para quitar el gusano y ejecútela.

Recuperación para Windows 2000 y Windows NT 4.0

La característica Servidor de seguridad de conexión a Internet no está disponible en Windows 2000 o Windows NT 4.0. Si Microsoft Internet Security and Acceleration (ISA) Server 2000 o un servidor de seguridad de terceros no están disponibles para bloquear los puertos TCP 135, 139, 445 y 593; los puertos UDP 69 (TFTP), 135, 137 y 138; y el puerto TCP 4444 para un shell de comandos remoto, siga estos pasos para ayudar a bloquear los puertos afectados de las conexiones de la red de área local (LAN). Tenga en cuenta que no hay un filtro TCP/IP disponible para las conexiones de acceso telefónico. Si utiliza una conexión de acceso telefónico para conectarse a Internet, debería habilitar un software de servidor de seguridad.

1. Configurar la seguridad de TCP/IP. Para ello, use el procedimiento correspondiente a su sistema operativo.
   
   Windows 2000
   1. En el Panel de control, haga doble clic en Conexiones de red y acceso telefónico.
   2. Haga clic con el botón secundario del mouse en la interfaz que usa para el acceso a Internet y, después, haga clic en Propiedades.
   3. En el cuadro Esta conexión utiliza los componentes seleccionados, haga clic en Protocolo de Internet (TCP/IP) y, a continuación, haga clic en Propiedades.
   4. En el cuadro de diálogo Propiedades de Protocolo Internet (TCP/IP), haga clic en Opciones avanzadas.
   5. Haga clic en la pestaña Opciones.
   6. Haga clic en Filtrado TCP/IP y, después, en Propiedades.
   7. Haga clic para seleccionar la casilla de verificación Habilitar filtrado TCP/IP (todos los adaptadores).
   8. Hay tres columnas con las etiquetas siguientes:
      • Puertos TCP
      • Puertos UDP
      • Protocolos IP
      En cada una de las columnas, haga clic en la opción Permitir sólo.
   9. Haga clic en Aceptar.
      
      Notas
      • Si el equipo se apaga o se reinicia repetidamente cuando intenta seguir estos pasos, desconéctese de Internet antes de activar el servidor de seguridad. Si conecta a Internet en una conexión de banda ancha, busque el cable que sale del módem DSL externo o de cable y, a continuación, desconecte el cable del módem o de la toma de teléfono. Si usa una conexión de acceso telefónico, busque el cable de teléfono que va desde el módem que está en el interior del equipo a la toma de teléfono y, a continuación, desconéctelo de la toma de teléfono o del equipo.
      • Si tiene más de un equipo que comparte la conexión a Internet, use un servidor de seguridad sólo en el equipo directamente conectado a Internet. No use servidor de seguridad en los otros equipos que comparten la conexión a Internet.
      • El uso de un servidor de seguridad no afectará a su servicio de correo electrónico o a la exploración del Web, pero un servidor de seguridad puede deshabilitar algunas características, servicios o software de Internet. Si se produce este comportamiento, quizá tenga que abrir algunos puertos del servidor de seguridad para que funcione alguna característica de Internet. Consulte la documentación que se incluye con el servicio de Internet que no está funcionando para determinar los puertos que debe abrir. Vea la documentación que se incluye con su servidor de seguridad para determinar cómo abrir estos puertos.
      • Estos pasos se basan en un extracto modificado del artículo 309798 de Microsoft Knowledge Base. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        309798

        (http://support.microsoft.com/kb/309798/ )

        Cómo configurar el filtrado TCP/IP en Windows 2000
   Windows NT 4.0
   1. En el Panel de control, haga doble clic en Red.
   2. Haga clic en la ficha Protocolo, en Protocolo TCP/IP y, a continuación, en Propiedades.
   3. Haga clic en la ficha Dirección IP y, después, en Avanzadas.
   4. Active la casilla de verificación Habilitar seguridad y, a continuación, haga clic en Configurar.
   5. En las columnas Puertos TCP, Puertos UDP y Protocolos IP, seleccione el valor Permitir sólo.
   6. Haga clic en Aceptar y luego cierre la herramienta Red.
2. Descargue la revisión de seguridad 824146 e instálela en todos los equipos para tratar la vulnerabilidad identificada en los boletines de seguridad de Microsoft MS03-026 y MS03-039. Para descargar la revisión de seguridad 824146, haga clic en el vínculo correspondiente:
   Windows NT Workstation 4.0

   http://download.microsoft.com/download/c/c/a/ccadacf8-06e2-4095-bff1-58652abe66ff/WindowsNT4Workstation-KB824146-x86-esp.exe

   (http://download.microsoft.com/download/c/c/a/ccadacf8-06e2-4095-bff1-58652abe66ff/WindowsNT4Workstation-KB824146-x86-esp.exe)
   Windows NT Server 4.0
   http://download.microsoft.com/download/d/0/7/d075d117-b588-4989-90c3-a27f212e3e1a/WindowsNT4Server-KB824146-x86-esp.exe

   (http://download.microsoft.com/download/d/0/7/d075d117-b588-4989-90c3-a27f212e3e1a/WindowsNT4Server-KB824146-x86-esp.exe)
   Windows NT Server 4.0, Terminal Server Edition
   http://download.microsoft.com/download/8/9/1/891f9562-fe11-4447-85d5-ac2d1d74bc40/WindowsNT4TerminalServer-KB824146-x86-esp.exe

   (http://download.microsoft.com/download/8/9/1/891f9562-fe11-4447-85d5-ac2d1d74bc40/WindowsNT4TerminalServer-KB824146-x86-esp.exe)
   Windows 2000
   http://download.microsoft.com/download/2/9/9/29960028-0b66-44f7-8ed0-994ae8c11475/Windows2000-KB824146-x86-ESN.exe

   (http://download.microsoft.com/download/2/9/9/29960028-0b66-44f7-8ed0-994ae8c11475/Windows2000-KB824146-x86-ESN.exe)
   Tenga en cuenta que la revisión de seguridad 824146 reemplaza a la 823980. Microsoft recomienda instalar la revisión de seguridad 824146, que también incluye las soluciones de los problemas descritos en el Boletín de seguridad de Microsoft MS03-026 (823980) Para obtener más información acerca de la revisión de seguridad 824146, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   824146

   (http://support.microsoft.com/kb/824146/ )

   MS03-039: Un desbordamiento del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados
   Para obtener más información acerca de la revisión de seguridad 823980 y los requisitos previos (como un Service Pack para su versión de Windows), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   823980

   (http://support.microsoft.com/kb/823980/ )

   MS03-026: Un desbordamiento de búfer en la interfaz RPC podría permitir la ejecución de código
3. Instale o actualice el software de firmas de antivirus y ejecute después un examen completo del sistema.
4. Descargue de su proveedor de antivirus la herramienta para quitar el gusano y ejecútela.

Para obtener detalles técnicos adicionales relativos al gusano Blaster de los proveedores de software antivirus que participan en Microsoft Virus Information Alliance (VIA), visite los siguientes sitios Web de terceros:

• Network Associates
  http://us.mcafee.com/virusinfo/default.asp?id=description&virus_k=100547

  (http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547)
• Trend Micro
  http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_MSBLAST.A

  (http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_MSBLAST.A)
• Symantec
  http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/la-w32.Blaster.Worm.html

  (http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html)
• Computer Associates
  http://www3.ca.com/virusinfo/virus.aspx?id=36265

  (http://www3.ca.com/virusinfo/virus.aspx?ID=36265)

Nota: si no necesita utilizar el filtrado TCP, puede deshabilitarlo después de aplicar la revisión descrita en este artículo y de haber comprobado que ha quitado el gusano correctamente.

Para obtener detalles técnicos adicionales acerca de las variantes conocidas del gusano Blaster, visite los siguientes sitios Web de Symantec:

• W32.Blaster.C.Worm: Teekids.exe
  http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html

  (http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html)
• W32.Blaster.B.Worm: Penis32.exe
  http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html

  (http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html)
• W32.Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll y Yyuetyutr.dll
  http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html

  (http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html)

Para obtener información acerca de Microsoft Virus Information Alliance, visite el siguiente sitio Web de Microsoft: Para obtener información adicional acerca de cómo recuperarse de este gusano, póngase en contacto con su proveedor de software antivirus.

Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

Para obtener la información más actualizada de Microsoft acerca de este gusano, visite el siguiente sitio Web de Microsoft: Si tiene alguna pregunta acerca de esta alerta, póngase en contacto con su representante de Microsoft o en los Estados Unidos llame (en inglés) al teléfono 1-866-727-2338 (1-866-PCSafety). Fuera de los Estados Unidos, póngase en contacto con la filial de Microsoft que atiende a su país. Para obtener soporte técnico para problemas relacionados con virus, visite el sitio Web Microsoft Virus Support Newsgroup: Para obtener información adicional relacionada con la seguridad relativa a los productos de Microsoft, visite el sitio Web de Microsoft: Para obtener información adicional relacionada con la seguridad relativa a los boletines de seguridad de Microsoft MS03-026 y MS03-039, visite los sitios Web de Microsoft: