Новая компьютерная угроза - червь Win32.Blaster.a
По сети пополз новый червь, использующий уязвимость в RPC. Червь быстро распространяется по сети, включая и Российский сегмент. Заражению подвержены Windows NT® 4.0, Win 2000, WinXP, Windows Server™ 2003. Возможные названия (алиас): W32/Lovsan.worm(McAfee), W32.Blaster.Worm (Symantec), Win32.Poza (CA), WORM_MSBLAST.A (Trend), msblast.exe, tftp.
Уязвимость, используемая вирусом, позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).
При запуске, червь просматривает случайный диапазон IP адресов, для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам, червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку тела червя.
После успешной загрузки, червь копируется в каталог %WinDir%\system32 под названием msblast.exe и запускается на выполнение. При этом в реестре появляется запись:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Признаки заражения:
* Наличие файла msblast.exe в каталоге %WinDir%\system32.
* Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
* Наличие записи в системном реестре
Червь также виден в менеджере процессов (CTRL+ALT+Del) под именем msblast
Заражения можно избежать установив патч от Микрософт
http://www.microsoft.com/technet/tr...
Тритон
(13.08.2003 Ср 14:39)
|