W32/Blaster, es un gusano que se aprovecha de la vulnerabilidad DCOM RPC, descrito en el boletín de seguridad MS03-026 de Microsoft.

http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

El gusano se propaga en un archivo "MSBLAST.EXE"

El gusano tiene errores y en muchos casos provoca una falla en el sistema operativo reiniciándolo, el gusano ataca indirectamente al archivo svchost.exe (Generic Host Process for Win32 services) que pertenece al sistema.

Cuando el gusano se ejecuta modifica una entrada en el registro para poder ejecutarse en cada reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"windows auto update"="msblast.exe"

 

El gusano busca computadoras al azar que no tengan el parche de Microsoft instalado, la búsqueda es realizada a traves del  puerto 135 TCP. Cuando encuentra un equipo vulnerable crea un shell remoto, transfiere el archivo MSBLAST.EXE al directorio %windows%\system32 y lo ejecuta. Para transferir el archivo el gusano utiliza el programa TFTP

  

Recomendaciones para eliminar el gusano:

1. Instalar el parche de Microsoft para evitar que su computadora sea atacada nuevamente por el gusano u otro programa que utilice la misma vulnerabilidad.. El parche se encuentra disponible en:

   http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

    

2. Detectar y eliminar los archivos infectados con The Hacker 5.5 actualizado al 11/08/2003 o posterior
    

Si utiliza Windows XP o Windows Server 2003  y no puede bajar el parche porque su equipo se reinicia habilite la función "Servidor de seguridad de conexión a Internet" en Windows XP, los detalles en la siguiente dirección:

http://support.microsoft.com/?kbid=283673