Блин вчера словил сию гадость Сетевой червь Blaster
И не я один судя по жалобам друзей...
Worm.Win32.Blaster.a
Тип: Интернет-Червь (Worm)
Длина: 6'169 (6'176) байт (UPX packed)
ОС подверженные заражению:
Microsoft Windows NT® 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003
Патч для ОС: Здесь
Возможные названия: W32/Lovsan.worm(McAfee), W32.Blaster.Worm (Symantec), Win32.Poza (CA), WORM_MSBLAST.A (Trend), msblast.exe, tftp
Обнаружен: 11 августа 2003
Описание:
Интернет-червь. Червь использует уязвимость в службе Microsoft Windows DCOM RPC. Данная уязвимость позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).
При запуске, червь просматривает случайный диапазон IP адресов, для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам, червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку основного тела червя.
После успешной загрузки основного тела червя, оно копируется в каталог %WinDir%\system32 и запускается на выполнение.
Создает в системном реестре ключ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Инсталляция
При запуске, создается файл msblast.exe в каталоге %WinDir%\system32 и вышеуказанная запись в системном реестре.
Признаки заражения
Наличие файла msblast.exe в каталоге %WinDir%\system32.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
Наличие записи в системном реестре
Рекомендации по защите и удалению
Загрузить последнее обновление для Антивируса (Drweb уже знает)
Провести сканирование и удалить все обнаруженные файлы.
Установить обновление (См выше).
Оригинал статьи здесь
Спасибо Srez.ru за ссылку.
