Внимание! Вирус-червь Blaster
Интернет-червь использует для распространения уязвимость в службе Microsoft Windows DCOM RPC. Данная «дыра» позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы. Используя данную уязвимость, червь может распространяться самостоятельно, без вмешательства пользователя. |
Признаками заражения компьютера являются:
| наличие файла msblast.exe в каталоге windows\system32; |
| cообщение об ошибке (RPC service failing), приводящее к перезагрузке системы. |
При запуске червь просматривает случайный диапазон IP-адресов для поиска уязвимых компьютеров. Для этого он «ощупывает» порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь пытается установить удаленное соединение и посылает на уязвимый компьютер специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя Blaster MSBLAST.EXE. После успешной загрузки этот файл регистрируется в секции автозагрузки системного реестра Windows (каталог %WinDir%\system32) и запускается на выполнение.
Червь создает в системном реестре ключ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run «windows auto update» = msblast.exe I just want to say LOVE YOU SAN!! Bill
В качестве побочного действия новый червь содержит функцию DDoS-атаки на сайт WindowsUpdate.com, содержащий обновления операционной системы Windows, в том числе, обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день веб-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.
Для защиты от червя рекомендуется загрузить последнее обновление своего антивируса, провести сканирование и удалить все обнаруженные подозрительные файлы, а также установить заплатку от Microsoft и заблокировать порты 135, 69 и 4444 для предотвращения проникновения червя на компьютер.
|