По сети пополз новый червь, но заражения можно еще избежать

2003-08-12 12:59

Червь, используя уязвимость в RPC, быстро распространяется по сети, включая и украинский и российский сегменты.
Как сообщает "РуНет", заражению подвержены Windows NTR 4.0, Win 2000, WinXP, Windows ServerT 2003. Возможные названия (алиас): W32/Lovsan.worm(McAfee), W32.Blaster.Worm (Symantec), Win32.Poza (CA), WORM_MSBLAST.A (Trend), msblast.exe, tftp.

Уязвимость, используемая вирусом, позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).

При запуске, червь просматривает случайный диапазон IP адресов, для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам, червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку тела червя.

После успешной загрузки, червь копируется в каталог %WinDir%system32 под названием msblast.exe и запускается на выполнение. При этом в реестре появляется запись:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Признаки заражения:

* Наличие файла msblast.exe в каталоге %WinDir%system32.
* Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
* Наличие записи в системном реестре

Червь также виден в менеджере процессов (CTRL+ALT+Del) под именем msblast

Заражения можно избежать установив патч от Микрософт.