Cmo defenderse del gusano Blaster
que vuelva a funcionar. Una
Actualizacin del sistema
Cmo se llama...?
Los inicios
El gusano Blaster
Prevencin
Paso a paso:
cmo protegerte
P
ara saber un poco ms
sobre este fallo del sis-
tema operativo Win-
dows, la informacin se
complet diciendo que sus
efectos eran una vulnera-
bilidad de desbordamiento
de buffer en la interfaz
DCOM 01 para el RPC 02 , y
que afecta a los sistemas
Windows basados en NT 03
(NT/2000/XP/2003), y que
24
El pasado 16 de julio, Microsoft admita que sus sistemas operativos
tenan un fallo y recomendaba la descarga e instalacin de un parche
24
24 de seguridad. Esta deficiencia est trayendo cola desde entonces...
25
25
permitira la ejecucin de
26 cdigo arbitrario... Clarsi-
mo, no? Veamos qu signi-
26 fica todo esto en realidad.
Supn que tu ordenador es
una baera. Como bien sa-
Se puede desbordar
el agua de la baera
bes,la baera tiene en la par-
te superior un desage adi-
cional para evitar que se
salga el agua en caso de que
se llene mucho. ste sera el
buffer de tu PC, un ele-
mento cuya misin es distri-
buir la entrada y salida de da-
tos para evitar que haya un
exceso o escasez de stos. rre esto, el ordenador se blo-
Ahora,imagnate que tapas
el desage mientras ests lle-
nando la baera.Al principio
no habr problema, porque
hay espacio de sobra para
contener el agua, pero al ca-
bo de un rato el nivel llega-
r al desage y, al no encon-
trar salida,seguir llenndose
hasta que se salga el agua y
te toque fregar todo el bao.
Pues con esta vulnerabilidad
ocurre igual, el flujo de in-
formacin no cuenta con el
control del buffer, y se co-
lapsa hasta desbordarse.
N 128
de las caractersticas de es-
ta vulnerabilidad es que, una
vez que se ha producido el
desbordamiento, el sistema
ya no se bloquea, sino que
intenta asimilar toda la in-
formacin recibida. Como
no puede, se descontrola y
baja todas las defensas,
permitiendo que otros ha-
gan cualquier accin con l,
lo que se ha llamado ejecu-
cin de cdigo arbitrario.
En definitiva, una vez des-
bordado, cualquier persona
con conocimientos al res-
pecto, podra hacer lo que
quisiera con tu ordenador,
desde borrar el disco duro,
quitarte toda la informacin
que tengas, configurarse co-
mo usuario habitual y as
acceder de modo legal
siempre que quiera hacer
algo en tu PC... o meter un
virus en el sistema.
Actualizacin
del sistema
Microsoft anunci de in-
mediato la existencia de un
parche de seguridad que
atajaba este fallo. Puedes
descargarlo en la direccin
www.microsoft.com/spain/
technet/seguridad/boletines/
MS03-026-IT.asp
Como suele ser habitual,
no todo el mundo actuali-
za el sistema cuando debe-
ra. Unos, porque es nece-
sario tener una conexin
con Internet permanente,
y, con un mdem, resulta
bastante costosa y lenta;
otros, porque ignoran los
mensajes de Windows rela-
tivos a realizar la actualiza-
cin; y unos terceros tienen
desconectado el aviso y el
Lo habitual es que, si ocu- sistema de actualizacin au-
tomticos del sistema ope-
quee, deje de responder, y rativo, y tampoco lo hacen
tengas que reiniciarlo para de manera manual.
Denominacin de origen
Por su nombre lo conocers no tiene por qu ser una
cita del todo cierta. Nombres tiene muchos, tantos como
empresas de antivirus, por lo que te los detallamos.
Panda Software (Titanium y Platinum) W32/Blaster
Symantec (antivirus Norton) W32.Blaster.worm
Network Associates (McAfee antivirus) W32/Lovsan.worm
Trend Micro (antivirus PC-Cillin) Worm_msblast.A
Sophos (Sophos antivirus) W32/Blaster-A
Computer Associates (eTrust antivirus) Win32.Poza

Por una u otra causa,al fi-
nal terminas necesitando la
actualizacin...cuando el da-
o ya est hecho.
Los inicios
La circulacin de virus por
Internet es una prctica co-
mndesde hace aos, y los
creadores de estos bichos
suelen intentar aprovechar
todas las vulnerabilidades
que pueden para que los
efectos de sus animalitos
sean mayores.
El cuatro de agosto, un vi-
rus troyano llamado Auto-
rooter, fue el primero en dar
un toque de atencin a es-
ta vulnerabilidad. Poda lle-
gar a tu ordenador en un
email, descargando un fi-
chero, o navegando por In-
ternet, y su cometido era el
de tomar posesin de tu PC
abriendo el puerto 57005.
Afortunadamente, no re-
sult ser muy peligroso, ya
que slo afectaba a un sis-
tema operativo con un Ser-
vice Pack determinado ins-
talado. Eso s, era cuestin
de tiempo que otros virus
dieran con el cdigo para una pequea aplicacin que
infectar todos los sistemas
operativos Windows.
El gusano
Blaster
El gusano Blaster apa-
reci el doce de agosto,
aprovechando tambin es-
te fallo. ste ya s afectaba
a todos los usuarios de
Windows, sobre todo a los
particulares, que son los
que no suelen tener un fi-
rewall instalado en el sis-
tema, o que son los que
descuidan ms la seguridad
en sus PCs.
En la web www.virusportal.com, se publica informacin
actualizada sobre las actividades e incidencias de los virus.
Hay muchas formas de coger un virus, y por ello debes tener
presente los modos de contagio ms habituales.
Descarga
de archivo
Ten cuidado con lo que
bajas de Internet.
Viaje o sondeo
de una red
Blaster examina sus
puntos vulnerables.
Correo
electrnico
Suele ser el modo de
contagio ms habitual.
En un CD /
disquete
El virus puede estar
dentro de uno de
estos soportes.
Qu es y qu hace?
Aunque englobado bajo el
epgrafe de virus, Blaster nerabilidad entrando en tu
(como a partir de ahora lo
denominaremos) es en rea-
lidad un gusano o worm.
Para diferenciar uno de otro,
te diremos que un virus es
139, 445, 593, y 4444. Des-
se copia en un ordenador y
que,cuando se ejecuta, afec-
ta de un modo concreto al
sistema. Es decir, virus es el
nombregenrico que se le
da a todos estos programas.
En cambio, un gusano es
una aplicacin cuya finali-
dad es la de crear copias de
s mismo e infectar con ellas
a otros ordenadores. Lo que
hace es expandirse conti-
nuamente hasta colapsar la
red u ocupar todo el sitio
disponible del disco duro
del equipo infectado, por lo
que el colapso se produce
antes o despus.
Cmo defenderse del gusano Blaster
01 DCOM
Distributed Component
Object model (Modelo
de Objetos de Compo-
nentes Distribuido), una
interfaz que controla las
solicitudes de informa-
cin entre un ordenador
cliente y un servidor.
02 RPC
Significa Remote Proce-
dure Call (Llamada a Pro-
cedimiento Remoto). Es
un protocolo (conjunto de
reglas) que utiliza el siste-
ma operativo Windows
como mecanismo de
comunicacin
entre procesos, y
que permite a un
equipo ejecutar c-
digo sin dificultades en un
sistema remoto.
Modos de actuacin (bloquee) por exceso de
Blaster aprovecha la vul- informacin. Por tanto, uno 03 NT
de los modos de detectar Abreviatura de Windows
equipo,una vez que est co- la presencia de Blaster en NT, o New Technology
lapsadopor el envo masivo tu sistema es que habr un (Nueva Tecnologa). Un
de informacin, por alguno aumento considerable del sistema operativo de Mi-
de los puertos 04 abiertos, f lujo de informacin des- crosoft especialmente di-
en concreto por el 69, 135, de el puerto 135. seado para el trabajo en
Como curiosidad adicio- red, y pensado para ser
pus de esto, realiza un exa- nal, te diremos que este gu- instalado en servidores.
men de todas las direccio- sano incluye entre su cdigo
nes IP 05 de la red para alguna frase reivindicativa, 04 Puerto
encontrar ms ordenadores concretamente dos: o bien Un ordenador conectado
a Internet puede realizar
a los que infectar. I just want to say LOVE
YOU SAN!!; o Billy Gates varias conexiones simul-
Cmo notar su presencia? why do you make this pos- tneas. Para identificar
En primer lugar debes sa- sible? Stop making money cada una de ellas, se les
ber que el gusano llegar a and fix your software!!. asigna un nmero hasta
tu ordenador desde Inter- un mximo de 65.536.
net.Blaster funciona como Consecuencias Del 0 al 1.023, estn re-
servados para determi-
una sonda buscando equi-
pos vulnerables, es decir, de Blaster nadas aplicaciones
aquellos que no hayan ins- Como dao aadido, el como el correo electrni-
talado el parche de Micro- gusano lanza lo que se de- co, y el resto son de uso
soft. Una vez localizado, le nomina un ataque de de- libre. Estos nmeros
enva informacin co- negacin de servicio (un son los denominados
rrupta a raz de 40 Kb ca- ataque DoS, Denial of puertos, una puerta de
da 20 milisegundos hasta Service), es decir, que im- intercambio de informa-
que satura el buffer y blo- pide que tu ordenador se cin entre la red y el or-
quea el ordenador. conecte al servicio de ac- denador del usuario.
A continuacin, instala tualizacin automtica de
un archivo ejecutable en el 05 Direccin IP
disco duro, concretamente Determina la localizacin
en la carpeta del sistema de un ordenador dentro
de Windows System32, de una red TCP/IP. La di-
llamado msblast.exe, que reccin IP es de 32 bits
al ejecutarse busca otros escrita en cuatro grupos
ordenadores a los que in- de nmeros de 0 a 255,
fectar, a la vez que enva separados por punto. Por
paquetes de informacin a ejemplo, una direccin IP
Microsoft cada 20 milise- sera similar a sta:
gundos por el puerto 80, 202.154.22.37.
con el propsito de hacer Este mensaje aparece en tu
que su servidor se caiga PC si Blaster est presente.
N 128 25
 Cmo defenderse del gusano Blaster
El cdigo interno del gusano Blaster incluye algunas frases curiosas, como sta que reza:
tan slo te quiero decir que te quiero SAN!!. Toda una declaracin de intenciones.
Microsoft para evitar que
el sistema descargue au-
tomticamente el parche
(aunque lo puedes hacer
de forma manual).
La fecha clave elegida
por Blaster para realizar el
ataque DoS fue el pasado 16
de agosto. Para evitar males
mayores y que no se cayera
el servidor, Microsoft eli-
min de sus servidores el
dominio windowsupdate.com
durante la tarde-noche del
viernes 15 de agosto, aun-
que en distintos foros de In-
ternet se hicieron eco de
que este sitio ya estaba blo-
queado el jueves 14.
Conseguir que tu ordenador
est protegido contra ataques
no es tan difcil. Como ya he-
mos dicho, la prevencin te
ayudar siempre, pero hay
momentos, como el que ac-
tualmente Blaster est aprove-
chando, en el que una ayuda
extra nunca viene mal.
Adems de instarte a instalar
el parche suministrado por Mi-
crosoft, en este paso a paso
te vamos a ensear cmo des-
habilitar la interfaz DCOM. No
te preocupes de las conse-
cuencias, pues no tener activa-
dos estos servicios no modifi-
car en absoluto el comporta-
miento de tu ordenador. A lo
sumo, no podrs ver algunas
ventanas que utilizan Java o
DirectX al conectarte a deter-
minadas webs, ni utilizar la
funcin de Control Remoto
que Windows XP te ofrece. Por
lo dems, todo ser igual, pero
con la garanta de que tu PC
estar ms a salvo de ataques.
Jos Manuel Crespo, director
de Mrketing de Producto de la
empresa Panda Software, nos
26
Puestos al habla con Mi-
crosoft han comentado que
por el momento no hay pla-
nes para reactivar de nuevo
este dominio,y que los usua-
rios podran descargarse los
parches y actualizaciones
desde la nueva pgina web
windowsupdate.microsoft.com,
aunque han negado que es-
te cambio se deba a la accin
del gusano Blaster.
Qu puedes hacer?
Lo primero de todo es ins-
talar el parche suministrado
por la empresa Microsoft,
que ataja esta vulnerabili-
dad. En la pgina 24 de este
Paso a paso: cmo protegerte
ha explicado, en pocos pasos, el
modo de asegurar tu ordenador
deshabilitando la interfaz DCOM:
1
En Windows XP, haz click
sobre el botn
Luego, en el men que apare-
ce, elige la opcin
Se abrir una ventana en la que
debers escribir ,
y luego pulsar sobre
2
Ya est abierta la ventana
de Servicios de Compo-
nentes:
Entre las posibilidades que te
ofrece, pincha en ,
luego en , y final-
mente escoge
en la ventana de la
derecha.
3
Pulsa sobre este icono con
el botn derecho del ratn,
y en el men que se abre,
elige la opcin . De
nuevo se abrir otra ventana:
artculo publicamos la di-
reccin de descarga.
Debes tener en cuenta
que esta descarga e instala-
cin no implica que ya es-
ts a salvo. Puedes tener el
gusano en el PC,y el parche
slo cerrar la puerta, pero
ste seguir dentro.
Pasar un antivirus por tu
equipo sin haber instalado
el parche te limpiar el sis-
tema en el momento, pero
seguirs con la puerta
abierta y con muchas po-
sibilidades de volver a in-
fectarte.As que la solucin
es instalar el parche ofi-
cial en primer lugar, y pa-
. para abrir el
. as que quita dicha opcin ha-
. tn las opciones
N 128
sar un antivirus actualiza-
do a continuacin.
Prevencin
Como siempre, la mejor
solucin que existe es la
prevencin. La empresa de
antivirus Panda Software te
ofrece una serie de reco-
mendaciones que te ase-
gurarn tener tu PC en per-
fectas condiciones y a salvo
de amenazas externas:
En primer lugar, como ya
hemos indicado ante-
riormente, aplica el par-
che suministrado por Mi-
crosoft. Es el paso previo
imprescindible para evi-
tar males mayores.
Mantn actualizado el
antivirus. Esta actualiza-
cin suele realizarse de
manera automtica, pe-
ro, de lo contrario, des-
crgate el ltimo fichero
de firmas. En caso de no
tener antivirus, descarga
la aplicacin especfica
para Blaster que muchas
empresas de antivirus te
Pulsa sobre
la pestaa
siguiente men: est habilitada ,
4
En la parte ciendo click sobre el cuadro de
superior es-
de DCOM. Por
defecto, la opcin
ofrecen de forma gratui-
ta.Y, sobre todo, empieza
a pensar muy seriamente
en instalar y emplear un
programa antivirus.
Instala un firewall o acti-
va el que algunos progra-
mas antivirus ya incor-
poran. Tanto si utilizas
banda ancha, como si te
conectas por medio de
un mdem, un firewall
sirve de barrera efectiva
contra los ataques exter-
nos de cualquier tipo.
Ya no est disponible la web
windowsupdate.com
verificacin .
Finalmente, pulsa
sobre .
No cambies ningu-
na otra opcin de
estos mens, pues
puede que tu PC
deje de funcionar o
d muchos errores.
Ya tienes desacti-
vada la interfaz
DCOM, lo que no te
asegura que no
pueda entrar un
gusano tipo Blaster,
pero desde luego
se lo pondr mu-
chsimo ms difcil.