Experiencias con Blaster/LoveSan (2004)

12 de agosto, 8 de la tarde, 41.000 grados de temperatura y 8 horas de trabajo son motivos más que suficientes para querer llegar a casa y no querer hacer nada en los próximos 20 años pero, como suele ocurrir en estos casos, suena el móvil.

Es mi hermana, que acaba de pasar de un 386 a un mega-avion-athlon a chorrocientos gigahercios y está descubriendo la red. Me llama alarmada porque se ha zampado un virus. Y claro, su hermanito tiene que arreglarlo y todo a golpe de msn. Una tortura.

Su flamante Norton Antivirus y su maravilloso Windows XP juegan a las cartas mientras Blaster o LoveSan (como usted desee) reinicia cada pocos minutos el equipo de mi hermana. Hay que pasar a la acción.

blaster

PRIMER PASO: Información

Bueno, al menos NORTON detectaba el virus y nos decía el nombre, pero el pobre era incapaz de aislarlo o limpiarlo. Asi que me dirijo a Enciclopedia Virus y bingo: nuestro amigo es el primero de la lista. La informacion parece clara y concisa.

SEGUNDO PASO: Quitar basura

El segundo paso igual os sorprenda a más de uno, pero creo que es lo mejor de todo: eliminar el NORTON.

Para ello y por si acaso, hago que mi hermana arranque en modo seguro para que el virus no se active y nos toque la moral. Le digo que cuando arranque el equipo apriete F8 cada medio segundo hasta que le salga un menú de arranque y que elija "modo seguro".

Una vez hecho, intento desinstalar el NORTON pero ¡sorpresa!. No se puede desinstalar el Norton en modo seguro. Bueno, pues arrancamos en modo normal y conseguimos desinstalarlo antes de que blaster le reinicie el equipo.

TERCER PASO: eliminarlo a mano

Al parecer, el bicho se aloja en c:\windows\system32 con el nombre de msblast.exe. Así que hago que mi hermana abra una ventana de comandos (inicio-ejecutar-cmd) y la llevo a esa carpeta:

cd c:\\windows\\system32 (también puede ser cd c:\winnt\system32)

del msblast.exe

Pero me dice que no se puede borrar porque está activo. Mmm, solucion: matar el proceso.

Le digo que haga CTRL+ALT+SUP ---> Administrador de Tareas ----> Procesos.
Aquí está nuestro amigo msblast.exe activo en memoria. Pues terminamos el proceso msblast.exe y listo. Ahora sí, volvemos a la línea de comandos y del msblast.exe nos borra el virus.

Ya sólo falta eliminar la entrada del registro que hace que el virus se actualice en cada reinicio. Abrimos el regedit (inicio-ejecutar-regedit), buscamos y eliminamos la entrada:

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run Windows auto update\

CUARTO PASO: Se sigue reiniciando

Me dirijo a www.vsantivirus.com y me bajo la herramienta de PANDA para el virus.

Al pasarla nos dice que estamos limpios, pero el equipo de mi hermana se sigue reiniciando. Seguro que ha modificado algo en el sistema y aunque estemos limpios, se sigue reiniciando.

Probemos con el parche de Microsoft que corrige el agujero de seguridad (DCOM RPC) del que se aprovecha el virus.
Buscando un poquillo encuentro en "enciclopediavirus" el parche para todas las versiones de Guindous en castellano. Ahora le digo a mi hermana se baje e instale la versión para XP 32 bits. Reinicia el sistema y voilà: ya no se le vuelve a reiniciar. Ni rastro de Blaster ni de sus actividades.

avp

QUINTO PASO: Que no se vuelva a repetir.

Bueno, le voy a activar el Windows Update diario. Como mi hermana tiene el Service Pack 1 puedo ir al Panel de control-sistema-actualizaciones automáticas pero ¡oh, no me deja activar nada!

Bueno, soy un chico con recursos. Voy a Panel de control-herramientas administrativas-servicios y habilito de forma automática el servicio "actualizaciones automaticas". Ahora ya me deja activar las actualizaciones. Se las pongo diarias a una hora concreta a la que se suela conectar a la red.

Y finalmente le instalo KASPERSKY AVP/Antivirus Platinum. Es una la vieja versión 3.5.133 que tengo por ahí pero que le da mil vueltas a la mayoría de antivirus. Lo configuro para que se actualice diariamente y listo.

EPILOGO

Al final puedo hablar con videoconferencia tranquilamente con mi hermana, que me pregunta por los creadores de virus y sus intenciones. Yo no conozco a ninguno pero sí le digo que cada vez que se infecte con un virus piense que le están demostrando que utiliza un sistema operativo débil. Me pregunta por un sistema operativo "fuerte". Aprovecho para hablarle, sólo comentarle, sobre LINUX, pero esa es otra historia.

Nota: Este articulo fue escrito en el año 2004 para nautopia.net