Если кто-то сегодня наблюдает внезапное „падение“ Windows(NT/2000/XP/2003) то причина в новом сетевом черве, который достаточно быстро распространяется в России, Украине, Румынии и по всей Европе. Для распространения использует недавно найденную брешь в Windows и не требует никаких атачей в почте и прочее. Все „делает“ сам. Стоит обновить базы к антивирусам, которые вы используете (хотя ни Касперский, ни Dr.Web к этому моменту его не обнаруживают).
Далее подробнее о вирусе.
Опасность! Сетевой червь Blaster
12.08.2003
Worm.Win32.Blaster.a
Тип: |
Интернет-Червь (Worm) |
Длина: |
6'176 байт (упакован UPX) |
ОС подверженные заражению: |
Microsoft Windows NT® 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003 |
Патч для ОС: |
Исправление
уязвимости Windows |
Возможные названия (алиас): |
W32/Lovsan.worm(McAfee), W32.Blaster.Worm (Symantec), Win32.Poza (CA),
WORM_MSBLAST.A (Trend), msblast.exe, tftp |
Обнаружен: |
11 августа 2003 |
Добавлен в базу: |
11 августа 2003 |
Описание
Интернет-червь. Червь использует уязвимость
в службе Microsoft Windows DCOM RPC. Данная уязвимость позволяет злоумышленнику
подключиться к уязвимому компьютеру, выполнять команды и запускать приложения
от имени системы (пользователь LocalSystem).
При запуске, червь просматривает случайный диапазон IP адресов, для поиска
уязвимых компьютеров (TCP порт 135). К найденным компьютерам, червь пытается
применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения
и передаче уязвимому компьютеру TFTP команды на загрузку основного тела червя.
После успешной загрузки основного тела червя, оно копируется в каталог %WinDir%\system32
и запускается на выполнение.
Создает в системном реестре ключ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = "msblast.exe"
Червь содержит текст:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your
software!!
Инсталляция
При запуске, создается файл msblast.exe в каталоге %WinDir%\system32
и вышеуказанная запись в системном реестре.
Признаки заражения
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие записи в системном реестре
Рекомендации по защите и удалению
- Загрузить последнее обновление для Антивирус Stop! для детектирования
и удаления червя.
- Установить обновление
для Windows (патч).
- Провести сканирование и удалить все обнаруженные файлы.
Вопросы
Я не могу скачать патч. Как мне обезопасить компьютер ?
Если вы не можете загрузить патч с сайта Microsoft, можно отключить службу
DCOM и червь не сможет инфицировать компьютер.
Для отключения DCOM вручную:
1. Запустите Dcomcnfg.exe
2. Выберите Component Services
3. Откройте папку Computers
4. Для локального компьютера, кликните правой кнопкой My Computer и
выберите Properties
5. Выберите закладку Default Properties
6. Выключите переключатель Enable Distributed COM on this Computer
7. Нажмите Ок
У меня нет возможности использовать антивирус для удаления червя. Как произвести
удаление вручную ?
Удалить данный червь достаточно просто.
1. Отключить соединение с Internet
2. Установить обновление
для Windows
3. Удалить ссылку в системном реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
на файл msblast.exe
5. Перезагрузить компьютер.
6. В папке %WinDir%\System32 найти и удалить файл msblast.exe
Я использую операционную систему Windows 98 / Windows 95 / Windows ME / Linux
/ Mac OS. Уязвим ли мой компьютер ?
Нет. Данный червь порадает только следующие операционные системы:
- Microsoft Windows NT® 4.0
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server™ 2003
Proantivirus Lab — разработчик систем антивирусной безопасности. С 1997 года мы успешно разрабатываем и поставляем антивирусные технологии, продукты, и услуги для конечных пользователей и корпоративных заказчиков.
SETI.ee ()
ВКонтакте (0)
Facebook (
