Alerta de virus sobre el gusano Blaster y sus variantes

En este artículo se describe la alerta de virus sobre el gusano Blaster y sus variantes y contiene información sobre cómo prevenir y recuperarse de una infección del gusano Blaster y sus variantes.

Se aplica a: Windows 10: todas las ediciones, Windows Server 2012 R2
Número de KB original: 826955

Resumen

El 11 de agosto de 2003, Microsoft comenzó a investigar un gusano notificado por los Servicios de soporte técnico de productos (PSS) de Microsoft, y el equipo de seguridad de Microsoft PSS emitió una alerta para informar a los clientes sobre el nuevo gusano. Un gusano es un tipo de virus informático que generalmente se propaga sin la acción del usuario y que distribuye copias completas (posiblemente modificadas) de sí mismo entre redes (como Internet). Conocido como "Blaster", este nuevo gusano aprovecha la vulnerabilidad que ha abordado el boletín de seguridad de Microsoft MS03-026 (823980) para propagarse a través de redes mediante el uso de puertos abiertos de llamada a procedimiento remoto (RPC) en equipos que ejecutan cualquiera de los productos que se enumeran al principio de este artículo.

Este artículo contiene información para administradores de red y profesionales de TI sobre cómo prevenir y cómo recuperarse de una infección del gusano Blaster y sus variantes. El gusano y sus variantes también se conocen como W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) y Win32.Posa.Worm (Asociados de equipo). Para obtener más información sobre cómo recuperarse de este gusano, póngase en contacto con el proveedor de software antivirus.

Para obtener información adicional sobre los proveedores de software antivirus, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

49500 Lista de proveedores de software antivirus

Si es un usuario doméstico, visite el siguiente sitio web de Microsoft para conocer los pasos que le ayudarán a proteger el equipo y a recuperarse si el equipo se ha infectado con el gusano Blaster:

¿Qué es Microsoft Security Essentials?

Nota:

  • El equipo no es vulnerable al gusano Blaster si instaló la revisión de seguridad 823980 (MS03-026) antes del 11 de agosto de 2003 (la fecha en que se descubrió este gusano). No tiene que hacer nada más si instaló la revisión de seguridad 823980 (MS03-026) antes del 11 de agosto de 2003.

  • Microsoft probó Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP y Windows Server 2003 para evaluar si se ven afectados por las vulnerabilidades que aborda el Boletín de seguridad de Microsoft MS03-026 (823980). Windows Millennium Edition no incluye las características asociadas a estas vulnerabilidades. Las versiones anteriores ya no se admiten y pueden verse afectadas o no por estas vulnerabilidades. Para obtener información adicional sobre el ciclo de vida de Soporte técnico de Microsoft, visite el siguiente sitio web de Microsoft:

    Buscar información del ciclo de vida de productos y servicios.

    Las características asociadas a estas vulnerabilidades tampoco se incluyen con Windows 95, Windows 98 o Windows 98 Second Edition, incluso si DCOM está instalado. No es necesario hacer nada si usa cualquiera de estas versiones de Windows.

  • El equipo no es vulnerable al gusano Blaster si instaló Windows XP Service Pack 2 o paquete acumulativo de actualizaciones 1 para Windows 2000 Service Pack 4. La actualización de seguridad 824146 se incluye en estos Service Pack. No es necesario hacer nada más si ha instalado estos Service Pack. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    322389 Cómo obtener el service Pack de Windows XP más reciente.

Síntomas de infección

Si el equipo está infectado con este gusano, es posible que no experimente ningún síntoma o que experimente cualquiera de los siguientes síntomas:

  • Puede recibir los siguientes mensajes de error:

    El servicio llamada a procedimiento remoto (RPC) finalizó inesperadamente.
    El sistema se está cerrando. Guarde todo el trabajo en curso y cierre la sesión.
    Se perderán los cambios no guardados.
    Nt AUTHORITY\SYSTEM inició este apagado.

  • El equipo puede apagarse o reiniciarse repetidamente a intervalos aleatorios.

  • En un equipo basado en Windows XP o en un equipo basado en Windows Server 2003, puede aparecer un cuadro de diálogo que le ofrece la opción de notificar el problema a Microsoft.

  • Si usa Windows 2000 o Windows NT, puede recibir un mensaje de error Detener.

  • Puede encontrar un archivo denominado Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll en la carpeta Windows\System32.

  • Es posible que encuentre archivos TFTP* inusuales en su equipo.

Detalles técnicos

Para obtener detalles técnicos sobre los cambios que este gusano realiza en el equipo, póngase en contacto con el proveedor de software antivirus.

Para detectar este virus, busque un archivo denominado Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll en la carpeta Windows\System32, o descargue la firma de software antivirus más reciente del proveedor de antivirus y, a continuación, examine el equipo.

Para buscar estos archivos:

  1. Haga clic en Inicio, en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. En el símbolo del sistema, escriba dir %systemroot%\system32\filename.ext /a /sy presione ENTRAR, donde filename.ext es Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll o Yuetyutr.dll.

    Nota:

    Repita el paso 2 para cada uno de estos nombres de archivo: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll y Yuetyutr.dll. Si encuentra cualquiera de estos archivos, su ordenador puede estar infectado con el gusano. Si encuentra uno de estos archivos, elimine el archivo y siga los pasos descritos en la sección "Recuperación" de este artículo. Para eliminar el archivo, escriba del %systemroot%\system32\filename.ext /a en el símbolo del sistema y presione ENTRAR.

Prevención

Para evitar que este virus infecte el equipo, siga estos pasos:

  1. Active la característica Firewall de conexión a Internet (ICF) en Windows XP, Windows Server 2003, Standard Edition y en Windows Server 2003, Enterprise Edition; o use Firewall básico, Microsoft Internet Security and Acceleration (ISA) Server 2000 o un firewall de terceros para bloquear los puertos TCP 135, 139, 445 y 593; Puertos UDP 69 (TFTP), 135, 137 y 138; y el puerto TCP 4444 para el shell de comandos remotos.

    Para activar ICF en Windows XP o Windows Server 2003, siga estos pasos:

    1. Haga clic en Inicio y en Panel de control.
    2. En Panel de control, haga doble clic en Redes y conexiones a Internet y, a continuación, haga clic en Conexiones de red.
    3. Haga clic con el botón derecho en la conexión donde desea activar firewall de conexión a Internet y, a continuación, haga clic en Propiedades.
    4. Haga clic en la pestaña Opciones avanzadas y, a continuación, haga clic para activar la casilla Proteger mi equipo o red limitando o impidiendo el acceso a este equipo desde Internet .

    Nota:

    Es posible que algunas conexiones de acceso telefónico no aparezcan en las carpetas Conexión de red. Por ejemplo, es posible que no aparezcan las conexiones de acceso telefónico AOL y MSN. En algunos casos, puede usar los pasos siguientes para activar ICF para una conexión que no aparece en la carpeta Conexión de red. Si estos pasos no funcionan, póngase en contacto con su proveedor de servicios de Internet (ISP) para obtener información sobre cómo firewall de la conexión a Internet.

    1. Inicie Internet Explorer.
    2. En el menú Herramientas, haga clic en Opciones de Internet.
    3. Haga clic en la pestaña Conexiones , haga clic en la conexión de acceso telefónico que usa para conectarse a Internet y, a continuación, haga clic en Configuración.
    4. En el área Configuración de acceso telefónico , haga clic en Propiedades.
    5. Haga clic en la pestaña Opciones avanzadas y, a continuación, haga clic para activar la casilla Proteger mi equipo o red limitando o impidiendo el acceso a este equipo desde Internet .

    Para obtener más información sobre cómo activar el firewall de conexión a Internet en Windows XP o en Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    283673 Cómo activar o desactivar el firewall en Windows XP

    Nota:

    ICF solo está disponible en Windows XP, Windows Server 2003, Standard Edition y Windows Server 2003, Enterprise Edition. Firewall básico es un componente de enrutamiento y acceso remoto que puede habilitar para cualquier interfaz pública en un equipo que ejecute enrutamiento y acceso remoto y un miembro de la familia Windows Server 2003.

  2. Este gusano usa una vulnerabilidad anunciada anteriormente como parte de su método de infección. Por este motivo, debe asegurarse de que ha instalado la revisión de seguridad 823980 en todos los equipos para abordar la vulnerabilidad identificada en el Boletín de seguridad de Microsoft MS03-026. La revisión de seguridad 824146 reemplaza la revisión de seguridad 823980. Microsoft recomienda instalar la revisión de seguridad 824146 que también incluye correcciones para los problemas que se abordan en el Boletín de seguridad de Microsoft MS03-026 (823980).

  3. Use la firma de detección de virus más reciente del proveedor de antivirus para detectar nuevos virus y sus variantes.

Recuperación

Los procedimientos recomendados para la seguridad sugieren que realice una instalación completa "limpia" en un equipo previamente comprometido para quitar cualquier vulnerabilidad de seguridad no detectada que pueda dar lugar a un riesgo futuro. Para obtener más información, visite el siguiente sitio web de cert advisory:

Pasos para recuperarse de un riesgo del sistema UNIX o NT.

Sin embargo, muchas empresas antivirus han escrito herramientas para quitar la vulnerabilidad de seguridad conocida asociada a este gusano en particular. Para descargar la herramienta de eliminación de su proveedor de antivirus, use los siguientes procedimientos en función de su sistema operativo.

Recuperación para Windows XP, Windows Server 2003, Standard Edition y Windows Server 2003, Enterprise Edition

  1. Active la característica Firewall de conexión a Internet (ICF) en Windows XP, Windows Server 2003, Standard Edition y Windows Server 2003, Enterprise Edition; o use Firewall básico, Microsoft Internet Security and Acceleration (ISA) Server 2000 o un firewall de terceros.

    Para activar ICF, siga estos pasos:

    1. Haga clic en Inicio y en Panel de control.
    2. En Panel de control, haga doble clic en Redes y conexiones a Internet y, a continuación, haga clic en Conexiones de red.
    3. Haga clic con el botón derecho en la conexión donde desea activar firewall de conexión a Internet y, a continuación, haga clic en Propiedades.
    4. Haga clic en la pestaña Opciones avanzadas y, a continuación, haga clic para activar la casilla Proteger mi equipo o red limitando o impidiendo el acceso a este equipo desde Internet .

    Nota:

    • Si el equipo se apaga o se reinicia repetidamente al intentar seguir estos pasos, desconéctese de Internet antes de activar el firewall. Si se conecta a Internet a través de una conexión de banda ancha, busque el cable que se ejecuta desde su DSL o módem de cable externo y, a continuación, desenchufe ese cable del módem o de la toma de teléfono. Si usa una conexión de acceso telefónico, busque el cable telefónico que se ejecuta desde el módem dentro de su ordenador a su toma de teléfono y, a continuación, desenchufe ese cable del conector de teléfono o de su ordenador. Si no puede desconectarse de Internet, escriba la línea siguiente en el símbolo del sistema para configurar RPCSS para que no reinicie el equipo cuando se produzca un error en el servicio: sc failure rpcss reset= 0 actions= restart.

      Para restablecer RPCSS a la configuración de recuperación predeterminada después de completar estos pasos, escriba la línea siguiente en el símbolo del sistema: sc failure rpcss reset= 0 actions= reboot/60000.

    • Si tiene más de un equipo que comparte una conexión a Internet, use un firewall solo en el equipo que esté conectado directamente a Internet. No use un firewall en los demás equipos que comparten la conexión a Internet. Si ejecuta Windows XP, use el Asistente para instalación de red para activar ICF.

    • El uso de un firewall no debe afectar al servicio de correo electrónico ni a la exploración web, pero un firewall puede deshabilitar algunas características, servicios o software de Internet. Si se produce este comportamiento, es posible que tenga que abrir algunos puertos en el firewall para que funcione alguna característica de Internet. Consulte la documentación que se incluye con el servicio de Internet que no funciona para determinar qué puertos debe abrir. Consulte la documentación que se incluye con el firewall para determinar cómo abrir estos puertos.

    • En algunos casos, puede usar los pasos siguientes para activar ICF para una conexión que no aparece en la carpeta Conexiones de red. Si estos pasos no funcionan, póngase en contacto con su proveedor de servicios de Internet (ISP) para obtener información sobre cómo firewall de la conexión a Internet.

      1. Inicie Internet Explorer.
      2. En el menú Herramientas, haga clic en Opciones de Internet.
      3. Haga clic en la pestaña Conexiones , haga clic en la conexión de acceso telefónico que usa para conectarse a Internet y, a continuación, haga clic en Configuración.
      4. En el área Configuración de acceso telefónico , haga clic en Propiedades.
      5. Haga clic en la pestaña Opciones avanzadas y, a continuación, haga clic para activar la casilla Proteger mi equipo o red limitando o impidiendo el acceso a este equipo desde Internet .

    Para obtener más información sobre cómo activar el firewall de conexión a Internet en Windows XP o en Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    283673 Cómo activar o desactivar el firewall en Windows XP

    Nota:

    ICF solo está disponible en Windows XP, Windows Server 2003, Standard Edition y Windows Server 2003, Enterprise Edition. Firewall básico es un componente de enrutamiento y acceso remoto que puede habilitar para cualquier interfaz pública en un equipo que ejecuta enrutamiento y acceso remoto y es miembro de la familia Windows Server 2003.

  2. Descargue la revisión de seguridad 824146 y, a continuación, instálela en todos los equipos para solucionar la vulnerabilidad identificada en los boletines de seguridad de Microsoft MS03-026 y MS03-039.

    Nota:

    Que la revisión de seguridad 824146 reemplaza la revisión de seguridad 823980. Microsoft recomienda instalar la revisión de seguridad 824146 que también incluye correcciones para los problemas solucionados en el Boletín de seguridad de Microsoft MS03-026 (823980).

  3. Instale o actualice el software de firma del antivirus y, a continuación, ejecute un examen completo del sistema.

  4. Descargue y ejecute la herramienta de eliminación de gusanos de su proveedor de antivirus.

Recuperación para Windows 2000 y Windows NT 4.0

La característica Firewall de conexión a Internet no está disponible en Windows 2000 o Windows NT 4.0. Si Microsoft Internet Security and Acceleration (ISA) Server 2000 o un firewall de terceros no está disponible para bloquear los puertos TCP 135, 139, 445 y 593, los puertos UDP 69 (TFTP), 135, 137 y 138 y el puerto TCP 4444 para el shell de comandos remotos, siga estos pasos para ayudar a bloquear los puertos afectados para las conexiones de red de área local (LAN). El filtrado TCP/IP no está disponible para las conexiones de acceso telefónico local. Si usa una conexión de acceso telefónico local para conectarse a Internet, debe habilitar un firewall.

  1. Configure la seguridad de TCP/IP. Para ello, use el procedimiento para el sistema operativo.

    Windows 2000

    1. En Panel de control, haga doble clic en Conexiones de red y acceso telefónico local.

    2. Haga clic con el botón derecho en la interfaz que usa para acceder a Internet y, a continuación, haga clic en Propiedades.

    3. En el cuadro Componentes marcados por esta conexión , haga clic en Protocolo de Internet (TCP/IP) y, a continuación, haga clic en Propiedades.

    4. En el cuadro de diálogo Propiedades de protocolo de Internet (TCP/IP ), haga clic en Avanzadas.

    5. Haga clic en la pestaña Opciones .

    6. Haga clic en Filtrado TCP/IP y, a continuación, haga clic en Propiedades.

    7. Haga clic para activar la casilla Habilitar filtrado TCP/IP (Todos los adaptadores).

    8. Hay tres columnas con las siguientes etiquetas:

      • Puertos TCP
      • Puertos UDP
      • Protocolos IP

      En cada columna, haga clic en la opción Permitir solo .

    9. Haga clic en Aceptar.

    Nota:

    • Si el equipo se apaga o se reinicia repetidamente al intentar seguir estos pasos, desconéctese de Internet antes de activar el firewall. Si se conecta a Internet a través de una conexión de banda ancha, busque el cable que se ejecuta desde su DSL o módem de cable externo y, a continuación, desenchufe ese cable del módem o de la toma de teléfono. Si usa una conexión de acceso telefónico, busque el cable telefónico que se ejecuta desde el módem dentro de su ordenador a su toma de teléfono y, a continuación, desenchufe ese cable del conector de teléfono o de su ordenador.
    • Si tiene más de un equipo que comparte una conexión a Internet, use un firewall solo en el equipo que esté conectado directamente a Internet. No use un firewall en los demás equipos que comparten la conexión a Internet.
    • El uso de un firewall no debe afectar al servicio de correo electrónico ni a la exploración web, pero un firewall puede deshabilitar algunas características, servicios o software de Internet. Si se produce este comportamiento, es posible que tenga que abrir algunos puertos en el firewall para que funcione alguna característica de Internet. Consulte la documentación que se incluye con el servicio de Internet que no funciona para determinar qué puertos debe abrir. Consulte la documentación que se incluye con el firewall para determinar cómo abrir estos puertos.
    • Estos pasos se basan en un extracto modificado del artículo de Microsoft Knowledge Base 309798.

    Windows NT 4.0

    1. En Panel de control, haga doble clic en Red.
    2. Haga clic en la pestaña Protocolo , haga clic en Protocolo TCP/IP y, a continuación, haga clic en Propiedades.
    3. Haga clic en la pestaña Dirección IP y, a continuación, haga clic en Opciones avanzadas.
    4. Haga clic para activar la casilla Habilitar seguridad y, a continuación, haga clic en Configurar.
    5. En las columnas Puertos TCP, Puertos UDP y Protocolos IP , haga clic para seleccionar la opción Permitir solo .
    6. Haga clic en Aceptary, a continuación, cierre la herramienta Red.
  2. Descargue la revisión de seguridad 824146 y, a continuación, instálela en todos los equipos para solucionar la vulnerabilidad identificada en los boletines de seguridad de Microsoft MS03-026 y MS03-039.

    La revisión de seguridad 824146 reemplaza la revisión de seguridad 823980. Microsoft recomienda instalar la revisión de seguridad 824146 que también incluye correcciones para los problemas solucionados en el Boletín de seguridad de Microsoft MS03-026 (823980).

  3. Instale o actualice el software de firma del antivirus y, a continuación, ejecute un examen completo del sistema.

  4. Descargue y ejecute la herramienta de eliminación de gusanos de su proveedor de antivirus.

Para obtener detalles técnicos adicionales sobre el gusano Blaster de los proveedores de software antivirus que participan en Microsoft Virus Information Alliance (VIA), visite cualquiera de los siguientes sitios web de terceros:

Nota:

Si no tiene que usar el filtrado TCP, es posible que desee deshabilitar el filtrado TCP después de aplicar la corrección que se describe en este artículo y haber comprobado que ha quitado correctamente el gusano.

Para obtener detalles técnicos adicionales sobre las variantes conocidas del gusano Blaster, visite los siguientes sitios web de Symantec:

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll y Yyuetyutr.dll

Symantec Security Center.

Para obtener más información sobre Microsoft Virus Information Alliance, visite el siguiente sitio web de Microsoft:

Centro de respuesta de seguridad de Microsoft.

Para obtener más información sobre cómo recuperarse de este gusano, póngase en contacto con el proveedor de antivirus.

Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.

Referencias

Para obtener la información más reciente de Microsoft sobre este gusano, visite Inteligencia de seguridad de Microsoft para obtener recursos y herramientas para mantener el equipo seguro y en buen estado. Si tiene problemas con la instalación de la propia actualización, visite Soporte técnico para Microsoft Update para recursos y herramientas para mantener el equipo actualizado con las actualizaciones más recientes.