Вирус: червь W32.Blaster.worm

Прямая ссылка на заплатку.

Оповещение PSS Security Response Team — новый вирус: червь W32.Blaster.worm

Уровень важности: критический
Дата: 14 августа 2003 г.
Влияет на продукты: Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition

Группа Microsoft Product Support Services Security Team выпустила это оповещение, чтобы предупредить пользователей о быстром распространении нового червя W32.Blaster.Worm. Этот вирус также известен под следующими именами: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). Чтобы защититься от заражения этим червем, рекомендуется установить исправление системы безопасности MS03-026.

Пользователи, установившие исправление безопасности MS03-026 до сегодняшнего дня, надежно защищены, и им не нужно предпринимать дополнительных действий.

Воздействие

Распространяется через открытые порты RPC. Компьютер пользователя перезапускается, или в его системе появляется файл msblast.exe.

Техническая информация

Червь выполняет сканирование порта TCP 135 произвольного диапазона IP-адресов в поисках уязвимой системы. Червь пытается воспользоваться уязвимостью DCOM RPC, для защиты от которой было выпущено исправление MS03-026.

Отправленный в систему пользователя код злоумышленника загружает и запускает файл MSBLAST.EXE с удаленного компьютера по протоколу TFTP. После запуска червь создает в реестре следующий раздел:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Симптомы заражения вирусом

Некоторые пользователи могут вообще не заметить никаких симптомов. Основной признак заражения — перезагрузка системы с интервалом в несколько минут без участия пользователя. Кроме того, пользователи могут обнаружить следующее:

• наличие необычных файлов TFTP;
• наличие файла msblast.exe в каталоге WINDOWS\SYSTEM32.

Чтобы обнаружить вирус, попытайтесь найти в каталоге WINDOWS\SYSTEM32 файл msblast.exe или загрузите последние версии описаний вирусов с веб-узла своего поставщика антивирусных программ и выполните сканирование компьютера.

Дополнительные сведения об этом черве см. на веб-узлах разработчиков антивирусных программ, участвующих в программе Microsoft Virus Information Alliance (VIA) (EN):

• Network Associates (EN)
• Trend Micro (EN)
• Symantec (EN)
• Computer Associates (EN)

За дополнительными сведениями о вирусе обратитесь к своему поставщику антивирусных программ.

Меры предосторожности

Включите брандмауэр подключения к интернету (в Windows XP и Windows Server 2003) или с помощью брандмауэра независимого разработчика заблокируйте порты TCP 135, 139, 445 и 593, а также порт UDP 69 (TFTP) для защиты от враждебных данных и порт TCP 4444, который используется удаленной командной оболочкой. Чтобы включить брандмауэр подключения к интернету в Windows, выполните следующие действия (support.microsoft.com/?id=283673).

1. В панели управления дважды щелкните значок «Сеть и подключения к интернету» и выберите «Сетевые подключения».
2. Щелкните правой кнопкой мыши подключение, для которого требуется включить брандмауэр подключения к интернету, и выберите пункт «Свойства».
3. На вкладке «Дополнительно» установите флажок «Защитить мое подключение к интернету».

При заражении этот червь использует уязвимость, о которой сообщалось ранее. Поэтому для защиты компьютеров пользователи должны убедиться, что у них установлено исправление безопасности, описанное в бюллетене Майкрософт по безопасности (EN). Установите исправление MS03-026 с веб-узла Windows Update (EN).

Всегда проверяйте, что для поиска вирусов и их модификаций вы используете последние версии антивирусных программ своего разработчика.

Восстановление

Для обеспечения безопасности рекомендуется стереть зараженную систему и установить новую, чтобы избежать возникновения еще не найденных угроз безопасности. См. Cert Advisory: «Инструкции по восстановлению компьютеров с операционными системами UNIX и NT (EN)».

За дополнительными сведениями по восстановлению системы после атаки вируса обращайтесь к своему разработчику антивирусных программ.

Связанные бюллетени Майкрософт по безопасности: www.microsoft.com/technet/security/bulletin/ms03-026.asp (EN).

Связанные статьи Microsoft Knowledge Base: support.microsoft.com/?kbid=826955.

Эта статья появится в течение 24 часов.

Дополнительные ссылки: www.microsoft.com/security/incident/blast.asp (EN).

Всегда проверяйте, что вы используете для поиска вирусов и их модификаций последние версии антивирусных программ своего разработчика.

В случае возникновения вопросов по поводу этого сообщения обратитесь по телефону 8-800-200-8002 в России. Ответы на вопросы, связанные с вирусами, можно также получить в группе новостей Microsoft Virus Support Newsgroup (EN).