Se termina las vacaciones y mucha máquinas se ponen de nuevo en funcionamiento. Empresas, universidades, colegios etc vuelven a estar operativas tras el descanso veraniego y muchas de ellas pueden que estén afectadas por el fallo DCOM/RPC y se puede repetir la infección de miles de máquinas con el gusano MSBlast (W32/Lovsan.A)

Para evitar este nueva posible "epidemia" ponemos una rápida solución para limpiar las máquinas que se infecten.

- Limpiar el MSBlast (W32/Lovsan.A ó Blaster /variantes Win32/Nachi):

Afecta solo a Windows 2000, XP y Windows Server 2003, el gusano se propaga a través del puerto TCP/135, copiándose en otras máquinas que son vulnerables al fallo DCOM/RPC.

Cuando su máquina está infectada muestra el siguiente mensaje en su pantalla;

------------- INICIO ------------------------------

Apagar el sistema

Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTORITHYSYSTEM

Tiempo restante para el apagado: xx:xx:xx

Mensaje

Windows debe reiniciar ahora porque el servicio Llamada a procedimiento remoto (RPC) terminó de forma inesperada

-------------- FINAL ------------------------------

A los sesenta segundos la máquina se apagará sola.

Parche de seguridad de Microsoft (para evitar infectarse de nuevo);
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
Seleccione su sistema operativo y el idioma para descargar el parche.

Herramientas para limpiar el gusano;

ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
Copyright (C) F-Secure 2003.

http://securityresponse.symantec.com/avcenter/FixBlast.exe
Copyright (C) Symantec 2003.

http://updates.pandasoftware.com/pq/gen/blaster/pqremove.com
Copyright (C) Panda Software 2003.

De forma manual (usuarios avanzados);

CTRL+ALT+SUPR pinchar sobre administrador de tareas, localizar el proceso MSBLAST.EXE y pinchar sobre terminar proceso.

Editamos el registro de windows con el Regedit.exe y buscamos la cadena; MSBLAST.EXE cuando la encontremos la borraremos.

Para mas información;
http://www.microsoft.com/security/incident/blast.asp
http://www.microsoft.com/isaserver/techinfo/prevent/blasterworm.asp

En todos estos casos es recomendable tener actualizado un antivirus y un cortafuego activo en nuestra máquina, para más información:

Manual de instalación de cortafuegos

Manual de instalación de un antivirus

Escáner de Puertos

Herramientas para eliminar el gusano Blaster

Otra alternativa para la solución del gusano Blaster