Вирус: червь W32.Blaster.worm

Однажды с моим компом приключилась такая фигня: после 2-5 минут в онлайне появляется окошко которое мне поведало что произошёл сбой службы "NT Autority...." и reboot неизбежно нагрянет через 60 секунд... Я на полном серьёзе хотел переуcтанавливать систему (WinXP) , так-как думал что это дистрибутив такой (с предыдущим такой лажи небыло). Но позвонил ко мне Володя Ильин и сказал что это вирус: червь W32.Blaster.worm.

Прямая ссылка на заплатку.

Оповещение PSS Security Response Team — новый вирус: червь W32.Blaster.worm

Уровень важности: критический
Дата: 14 августа 2003 г.
Влияет на продукты: Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition

Группа Microsoft Product Support Services Security Team выпустила это оповещение, чтобы предупредить пользователей о быстром распространении нового червя W32.Blaster.Worm. Этот вирус также известен под следующими именами: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). Чтобы защититься от заражения этим червем, рекомендуется установить исправление системы безопасности MS03-026.

Пользователи, установившие исправление безопасности MS03-026 до сегодняшнего дня, надежно защищены, и им не нужно предпринимать дополнительных действий.

Воздействие

Распространяется через открытые порты RPC. Компьютер пользователя перезапускается, или в его системе появляется файл msblast.exe.

Техническая информация

Червь выполняет сканирование порта TCP 135 произвольного диапазона IP-адресов в поисках уязвимой системы. Червь пытается воспользоваться уязвимостью DCOM RPC, для защиты от которой было выпущено исправление MS03-026.

Отправленный в систему пользователя код злоумышленника загружает и запускает файл MSBLAST.EXE с удаленного компьютера по протоколу TFTP. После запуска червь создает в реестре следующий раздел:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Симптомы заражения вирусом

Некоторые пользователи могут вообще не заметить никаких симптомов. Основной признак заражения — перезагрузка системы с интервалом в несколько минут без участия пользователя. Кроме того, пользователи могут обнаружить следующее:

  • наличие необычных файлов TFTP;
  • наличие файла msblast.exe в каталоге WINDOWS\SYSTEM32.

Чтобы обнаружить вирус, попытайтесь найти в каталоге WINDOWS\SYSTEM32 файл msblast.exe или загрузите последние версии описаний вирусов с веб-узла своего поставщика антивирусных программ и выполните сканирование компьютера.

Дополнительные сведения об этом черве см. на веб-узлах разработчиков антивирусных программ, участвующих в программе Microsoft Virus Information Alliance (VIA) (EN):

За дополнительными сведениями о вирусе обратитесь к своему поставщику антивирусных программ.

Меры предосторожности

Включите брандмауэр подключения к интернету (в Windows XP и Windows Server 2003) или с помощью брандмауэра независимого разработчика заблокируйте порты TCP 135, 139, 445 и 593, а также порт UDP 69 (TFTP) для защиты от враждебных данных и порт TCP 4444, который используется удаленной командной оболочкой. Чтобы включить брандмауэр подключения к интернету в Windows, выполните следующие действия (support.microsoft.com/?id=283673).

  1. В панели управления дважды щелкните значок «Сеть и подключения к интернету» и выберите «Сетевые подключения».
  2. Щелкните правой кнопкой мыши подключение, для которого требуется включить брандмауэр подключения к интернету, и выберите пункт «Свойства».
  3. На вкладке «Дополнительно» установите флажок «Защитить мое подключение к интернету».

При заражении этот червь использует уязвимость, о которой сообщалось ранее. Поэтому для защиты компьютеров пользователи должны убедиться, что у них установлено исправление безопасности, описанное в бюллетене Майкрософт по безопасности (EN). Установите исправление MS03-026 с веб-узла Windows Update (EN).

Всегда проверяйте, что для поиска вирусов и их модификаций вы используете последние версии антивирусных программ своего разработчика.

Восстановление

Для обеспечения безопасности рекомендуется стереть зараженную систему и установить новую, чтобы избежать возникновения еще не найденных угроз безопасности. См. Cert Advisory: «Инструкции по восстановлению компьютеров с операционными системами UNIX и NT (EN)».

За дополнительными сведениями по восстановлению системы после атаки вируса обращайтесь к своему разработчику антивирусных программ.

Связанные бюллетени Майкрософт по безопасности: www.microsoft.com/technet/security/bulletin/ms03-026.asp (EN).

Связанные статьи Microsoft Knowledge Base: support.microsoft.com/?kbid=826955.

Эта статья появится в течение 24 часов.

Дополнительные ссылки: www.microsoft.com/security/incident/blast.asp (EN).

Всегда проверяйте, что вы используете для поиска вирусов и их модификаций последние версии антивирусных программ своего разработчика.

В случае возникновения вопросов по поводу этого сообщения обратитесь по телефону 8-800-200-8002 в России. Ответы на вопросы, связанные с вирусами, можно также получить в группе новостей Microsoft Virus Support Newsgroup (EN).

Автор: Пресс-служба Microsoft
Источник: Пресс-служба Microsoft

Все комментарии (0)


Добавить комментарий




:smile1: :smile2: :smile3: :smile4: :smile5: :smile6: :smile7: :smile8: :smile9: :smile10: :smile11: :smile12: :smile13: :smile14: :smile15: :smile16: :smile17: :smile18:


Сайт для умных людей, логические игры, задачи
xNova - Браузерная космическая игра
Новости современных технологий
Яндекс цитирования Rambler's Top100 Рейтинг@Mail.ru
Реклама: