Win32.MsBlast.A

Fara indoiala, cel mai puternic virus al saptamanii trecute a fost W32.MsBlaster.A. Asemanator cu vestitul Code Red, noul virus exploateaza o vulnerabilitate cunoscuta a sistemului de operare

Fara indoiala, cel mai puternic virus al saptamanii trecute a fost W32.MsBlaster.A. Asemanator cu vestitul Code Red, noul virus exploateaza o vulnerabilitate cunoscuta a sistemului de operare Windows. Spre deosebire de acesta din urma, noul virus nu afecteaza numai serverele, ci si computerele conectate la Internet. Din pacate, utilizatorii nu fac prea des upgrade si nici nu isi instaleaza patch-urile de securitate de la Microsoft. Acest lucru duce la o rata de infectare extrem de ridicata. Alias: W32.Blaster.Worm (NAV), W32/Blaster-A (Sophos) Tip: Executable Worm Marime: 6176 (impachetat cu UPX) Descoperit: 12.08.2003 Detectat: 12.08.2003 Rasapndire: Ridicata Simptome: Dupa executare, virusul creeaza un obiect mutex numit "BILLY" pentru a semnala prezenta sa in sistem, dupa care se instaleaza in %SYSTEM%\ MSBlast.exe (ex. C:\Windows\ System32) si creeaza o cheie de registri in HKLM\Software\ Micosoft\Windows\CurrentVerison\ Run numita "windows auto update" care face trimitere la fisierul copiat pentru a ramane rezident in memorie si a fi rulat la fiecare pornire a calculatorului. Descriere tehnica: Se raspandeste folosindu-se de vulnerabilitatea Microsoft Windows DCOM RPC. Atunci cand detecteaza un sistem vulnerabil, utilizeaza aceasta vulnerabilitate pentru a emite o comanda TFTP prin care aduce o copie a virusului, dupa care se executa. Virusul are si un playload, cauzand atacuri DoS (Denial of Service) pe situl windowsupdate.com dupa data de 15 august. Corpul sau include doua siruri de caractere, si anume: "I just want to say LOVE YOU SAN!!" si "billy gates why do you make this possible? Stop making money and fix your software!!", care nu sunt folosite. Virusul este scris in C si compilat cu LCC-Win32. Instructiuni de dezinfectie: Automata: - Lasati antivirusul sa stearga fisierele infectate sau folositi utilitarul gratuit de dezinfectie oferit de BitDefender Manuala: - Apasati CTRL+ALT+DEL si deschideti Task Manager, apoi inchideti procesul msblast.exe. S tergeti fisierul %SYSTEM% \MSBlast.exe. - Stergeti cheia urmatoare din registri cu regedit: HKLM\Software \Micosoft\Windows\ CurrentVerison\Run\windows auto update. Reporniti calculatorul. Nota: Virusii din aceasta rubrica pot fi eliminati cu antivirusul BitDefender, produs de compania Softwin.