MSBlast o Blaster como muchos le conocen, se ha hecho muy popular por la cantidad de infectados y por sus objetivos, Aquí les traigo una Caracterización y explicacion del Funcionamiento del  MSBlast...dar click en leer kás para Detalles...

Nombre: W32/MSBlast
Aliases: WORM_MSBLAST.A, W32/Blaster, W32/Lovsan.worm, W32.Blaster.Worm, I-worm.Lovsan, Troj/Msblas, Win32/Lovsan.A, W32/Blaster-A, Win32.Poza
Variantes: Ninguna
Fecha de Descubrimiento: 11/08/2003
Tipo: Gusano de internet
Gravedad: Alta
Origen: Desconocido
Fecha Ultimo Reporte: 21/08/2003
Porcentaje Reportes Ultimo Año: 1.978 %

Información: Generando direcciones IP aleatorias busca equipos vulnerables en la interfaz RPC y los infecta remotamente. El ciertas fechas inicia un DDoS contra el sitio www.windowsupdate.com.
Características: Al ejecutarse en un equipo, la primer medida que toma el gusano es verificar la existencia del mutex BILLY, si éste existe finaliza su ejecución, sino lo genera.

Por defecto, el virus msblast se copia en el directorio System32 de Windows (C:WinNT o C:Windows según el sistema operativo) como MsBlast.exe, luego genera el valor Windows auto update = msblast.exe I just want to say LOVE YOU SAN!! bill bajo la clave HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun, logrando de esta manera ejecutarse en cada arranque del equipo.

MSBlast Genera luego direcciones IP aleatorias basándose en los siguientes algoritmos para crearlas:

Algoritmo I (usado el 40% de las veces):

IP: A.B.C.D

donde D es igual a 0. Y si C > 20 es obtenido un valor menor que 20. Una vez generada la IP se enviará el exploit a la IP A.B.C.0 hasta A.B.C.255 secuencialmente.

Algoritmo II (usado el 60% restante):

IP: A.B.C.D

donde D también es igual a 0 y A, B y C es un valor aleatorio entre 0 y 255. Una vez generada la IP se incrementa el valor de D hasta 255 de uno en uno.

El exploit es llevado a cabo en ambos casos, enviando datos a través del puerto TCP 135.

Si la vulnerabilidad puede ser aprovechada, el virus MSblast genera una sesión remota y causa que el equipo atacado inicie una conexión desde su puerto TCP 4444 hacia el puerto UDP 69 del equipo agresor. Si dicha conexión es establecida, una copia del virus msblast será descargada hacia el equipo víctima utilizando el TFTP iniciado por el virus en el equipo infectado inicialmente.

Una vez descargado el virus en el equipo atacado, el mismo será ejecutado y comenzará también a buscar equipos con la falla en la interfaz RPC.

Además de propagarse utilizando una reciente vulnerabilidad en algunas versiones de Windows, el virus msblast inicia un Ataque de Denegación de Servicios Distribuidos (DDoS) hacia el sitio www.windowsupdate.com. De esta manera intenta dificultar el acceso al sitio de actualizaciones de Microsoft, para que los usuarios vulnerables no puedan proteger sus equipos aplicando el parche de seguridad ya emitido por la empresa de Bill Gates.

Este ataque comenzó sábado 16 de agosto hasta el último día del mes de enero, febrero, marzo, abril, mayo, junio, julio y agosto. Además de cualquier día de los meses de septiembre y diciembre.

Todos los equipos infectados por este virus msblast comenzarán a enviar una gran cantidad de paquetes, de unos 40 bytes y en breves intervalos, contra el puerto 80 del sitio WindowsUpdate.

Es posible que debido a un mal manejo en el exploit, los equipos infectados presenten el siguiente mensaje antes de apagar el sistema:

Apagar el sistema

Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT AUTORITHYSYSTEM

Tiempo restante para el apagado: xx:xx:xx

Mensaje Windows debe reiniciar ahora porque el servicio Llamada a procedimiento remoto (RPC) terminó de forma inesperada.

El problema se solucionará al eliminar el virus msblast del equipo y aplicar el parche de seguridad emitido por Microsoft.

Dentro del código del gusano puede ser encontrado el siguiente texto:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!

WORM_MSBLAST.A, W32/Blaster, W32/Lovsan.worm, W32.Blaster.Worm, I-worm.Lovsan, Troj/Msblas, Win32/Lovsan.A