w32/nachi.worm, worm_msblast.d, w32.welchia.worm, win32/nachi.a, w32/nachi-a, win32.nachi.a.worm, welchi, w32/nachi.a, w32/welchia
tipo: gusano
tama?o: 10,240 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.5 al 18/08/2003. descripción:
w32/nachi , es un gusano que se aprovecha de la vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft.
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
cuando el gusano se ejecuta descargar? el parche que corrige la vulnerabilidad del dcom rpc de microsoft, lo instalar? y reiniciar? el computador infectado.
seguidamente buscar? computadores activos que tengan la vulnerabilidad del dcom rpc para infectarlos enviando un pedido de respuesta icmp o haciendo un ping, obteniendo como resultado que se incremente el trafico icmp
luego intentar? eliminar el archivo msblast.exe que pertenece al virus w32/blaster
el gusano se copia a si mismo como:
system \wins\dllhost.exe
tambi?n hace una copia del archivo
system \dllcache\tftpd.exe
como
system \wins\svchost.exe
adem?s modifica una entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\system\currentcontrolset\services
rpcpatch= system \wins\dllhost.exe
hkey_local_machine\system\currentcontrolset\services
rpctftpd= system \wins\svchost.exe
recomendaciones para eliminar el gusano:
instalar el parche de microsoft para evitar que su computadora sea atacada nuevamente por el gusano u otro programa que utilice la misma vulnerabilidad.. el parche se encuentra disponible en: http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
detectar y eliminar los archivos infectados con the hacker 5.5 actualizado al 18/08/2003 o posterior si utiliza windows xp o windows server 2003 y no puede bajar el parche porque su equipo se reinicia habilite la funci?n servidor de seguridad de conexi?n a internet en windows xp, los detalles en la siguiente direcci?n:
http://support.microsoft.com/?kbid=283673
|
