Este gusano fue reportado por primera vez el 11 de agosto de 2003, y rápidamente se propagó a través de computadoras con Windows 2000 y XP principalmente, que no tenían el parche que soluciona la vulnerabilidad en la interface RPC (Remote Procedure Call) que permite la ejecución arbitraria de código (ver el parche MS03-026 en el siguiente artículo: http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp).
En ocasiones, y debido a un error en el exploit utilizado para aprovecharse de la falla mencionada, se muestra el siguiente mensaje antes de que el sistema se cierre:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Mensaje
Windows debe reiniciar ahora porque el
servicio Llamada a procedimiento
remoto (RPC) terminó de forma inesperada
Esto ocurrirá continuamente hasta que sea limpiada la infección y se tomen otras precauciones que se detallan más adelante en este artículo.
IMPORTANTE: Se debe tener en cuenta que este mensaje no es exclusivo de este gusano, sino de cualquier código maligno que se aproveche de ciertos exploits para la vulnerabilidad DCOM/RPC. Además de ello, recuerde que existen otros exploits que no producen este mensaje.
De todos modos, la aparición de un mensaje similar, amerita como opción más segura, la reinstalación del sistema operativo, previo formateo. Esto es así, puesto que es un indicador de que hay puertas abiertas en el PC infectado, y por consiguiente cualquier clase de archivo malicioso pudo haber sido instalado (más información al final del artículo).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
