По сети пополз новый червь, но заражения можно еще избежать
Червь, используя уязвимость в RPC, быстро распространяется по сети, включая и украинский и российский сегменты.
Как сообщает "РуНет", заражению подвержены Windows NTR 4.0, Win 2000, WinXP, Windows ServerT 2003. Возможные названия (алиас): W32/Lovsan.worm(McAfee), W32.Blaster.Worm (Symantec), Win32.Poza (CA), WORM_MSBLAST.A (Trend), msblast.exe, tftp.
Уязвимость, используемая вирусом, позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).
При запуске, червь просматривает случайный диапазон IP адресов, для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам, червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку тела червя.
После успешной загрузки, червь копируется в каталог %WinDir%system32 под названием msblast.exe и запускается на выполнение. При этом в реестре появляется запись:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Признаки заражения:
* Наличие файла msblast.exe в каталоге %WinDir%system32.
* Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
* Наличие записи в системном реестре
Червь также виден в менеджере процессов (CTRL+ALT+Del) под именем msblast
Заражения можно избежать установив патч от Микрософт.


