Download Preguntas Frecuentes acerca del Virus Lovesan (MS Blast

Preguntas Frecuentes acerca del Virus Lovesan (MS Blast,LOvsan, Poza)
1.- ¿ Cual es la diferencia entre virus Lovesan, Lovsan, Blaster, Msblast y Poza ?
No existe ninguna diferencia son alias del mismo virus. Los expertos de Kaspersky LABS
lo nombram unicamente Worm.Win32.Lovesan por el tipo de codigo analizado, es decir es
codigo de 32 bits y es de tipo Word(Gusano) debido a que se propaga a traves de la red.
Hasta ahora existen tres modificaciones del virus Worm.Win32.Lovesan que algunos
desarrolladores de software antivirus han denominado `a´, `b´, `c `.
2.- ¿ Como se si mi PC esta infectada ?
Usted puede detectar que su maquina esta infectada si :
-
Encuentra los archivos Msblast.exe, Teekids.exe or Penis32 en el directorio
system de Windows (generalmente C:\Windows\Systems32\ o C:\Winnt\System32).
Su computadora se reinicia en forma aleatoria unos cuantos minutos después de
iniciar su conexión hacia Internet.
Aparecen mensajes de error inesperados cuando utiliza MS Word, Excel or
Outlook.
Aparecen mensajes de fallas provocadas por el archivo svchost.exe
El sistema muestra errores de falla con el servicio RPC como se muestra en la
imagen de abajo
3.- ¿Que daño puede causar Lovesan a mi PC ?
Este Virus no provoca ningún daño a los archivos locales de las computadoras,
tampoco borra o cambia datos en las mismas. Worm.Win32.Lovesan afecta
unicamente el servicio de Internet debido principalmete al excesivo trafico que produce
durante su intento de infección. Como resultado los canales de transmisionpueden
saturarse y el servico de Internet sera lento e intermitente.
Adicional a esto Worm.Win32.Lovesan contiene una rutina que se activara a partir del
16 de Agosto la cual ejecuta un DDoS (Distributed Denial of Service) dirigido
hacia el sitio de Windowsupdate.com. Como resultado de esto el servidor que
provee parches de seguridad del sistema operativo Windows podria sufrir un
colapso y dejar a los usuarios sin este servicio. Debido a esta situación
Kaspersky LABS recomienda a lo usuarios de Windows descargas los parches
respectivos antes del 16 de agosto. Kaspersky pone a su disposición el siguiente
sitio para descargar los parches
http://avp.com.mx/descargas/ms-patches/RPC-DCOM/
4.- ¿Cuales versiones de Windows son vulnerables al ataque ?
Las siguinetes versiones de Windows son vulnerables al ataque del
Word.Win32.Lovesan
o
o
o
o
o
o
o
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition
Windows Server 2003 32 bit Edition
Windows Server 2003 64 bit Edition
5. ¿Como puedo proteger mi computadora de este virus ?
Usted debe seguir los siguientes pasos para minimizar el riesgo de infección de este
virus (Word.Win32.Lovesan)
There are several steps you need to take in order to protect your computer:
a. Actualizar su programa antivirus y no desactivarlo mientras este conectado a
Internet
b. Instalar un Firewall (para los usuarios caseros Firewall Personal) y bloquear los
puertos 69, 135 and 4444.
c. Descargar y aplicar los parches recomendados por Microsoft para eliminar la
vulnerabilidad DCOM RPC que es utilizada por Word.Win32.Lovesan para
atacar la PC.
Recuerde que la descarga y aplicacion de los parches de Microsoft son
importantes ya que estos evitaran que su computadora sea atacada mediante la
vulnerabilidad DCOM RPC (MS Security Bulletin MS03-026.)
6.- ¿Que es un Firewall y donde puedo obtenerlo ?
Un firewall es un programa especial que protege su compùtadora contra hackers
controlando la transferencia de datos entre Internet y su computadora. Un Firewall filtra
programas y paquetes maliciosos, ademas previene la conexión de aplicaciones del
area protegida hacia INternetThere are two basic types of firewalls: the first type is for
closed or private networks and the second for workstations.
Para usuarios caseros recomendamos Kaspersky Anti-Hacker.
7.
¿Como instalo los parches de Windows ?
Microsoft proporciona las ligas para descargar los parches :
a. Windows NT 4.0 Server
(English, German, French, Spanish)
b. Windows NT 4.0 Terminal Server Edition
(English, German, French, Spanish)
c.
Windows 2000
(English, German, French, Spanish)
d. Windows XP 32 bit Edition
(English, German, French, Spanish)
e. Windows XP 64 bit Edition
(English, German, French)
f.
Windows Server 2003 32 bit Edition
(English, German, French, Spanish)
g. Windows Server 2003 64 bit Edition
(English, German, French)
Solo necesita descargarlos y unasistente lo guiara durante el proceso de instalacion.
8.
No puedo descargar los parches de Microsoft porque mi computdora se reinicia
constantemente .
En caso de que su computadora se reinicie en forma continua, lo mas probable es que
este infectada por el virus Word.Win32.Lovesan. En este caso busque el archivo
TFTP.EXE en el directorio de sistema de Windows y renombrelo (generalmente
C:\Windows\System32\ C:\Winnt\System ) y revisar el cache en la siguiente carpeta
(\Windows\System32\dllcache). Después de aplicar los parches usted puede
renombrar el archive con sun ob¡mbre original.
9.
¿Qué hago si mi Computadora ya esta infectada por el virus
Worm.Win32.Lovesan ?
En esta caso usted debe verificar que su ativirus este actualizado y ejecutar un escane
complete a su Computadora. Kaspersky LABS cuneta con una herramienta para
desinfectar su computadora. Esta utileria localiza, desactiva y borra los archivos
infectados de todos los discos, ademas restaura los archivos del directorio de sistema
de Windows. Al finalizar la ejecución del programa usted debera ejecutar el Escanner y
reiniciar su equipo.
Puede descargar la utileria gratuita de:
a. Archivo empacado(necesita WInzip):
ftp://ftp.kaspersky.com/utils/clrav.zip
b. Archivo en formato normal:
ftp://ftp.kaspersky.com/utils/clrav.com
c.
Documentacion de la utileria:
ftp://ftp.kaspersky.com/utils/clrav_ReadMe.txt
10. Ya ejecute la utileria para remover el virus Lobezna pero mi computadora se
vuelve infectar
La utileria sirve para remover el virus pero no protege de ataques posteriores, usted debera
aplicar los parches de Microsoft.