| di
Giuseppe D'Agrusa
|
Come
rimuovere W32.Blaster.Worm e le
sue varianti |
Riservatezza
e sicurezza |
Introduzione
L'11
agosto, è iniziata una massiccia
diffusione del virus W32.Lovsan.Worm
(detto W32.Blaster.Worm). E'
possibile che gli utenti dei sistemi
operativi Windows 2000/XP mentre navigano
in internet potrebbero incorrere in
un messaggio simile al seguente:
-
Firewall Norton
Internet Security
Tentativo di connessione TCP in uscita
Indirizzo remoto, servizio: (xx.x.xxx.xx,epmap(135))
Nome processo: "C:\WINDOWS\System32\msblast.exe"
-
Avviso:
Il sistema sta per essere arrestato.
Salvare tutto il lavoro in corso e chiudere
la sessione.
Tutte le modifiche salvate andranno
perse. L' arresto è stato iniziato
da NT AUTHORITY/SYSTEM
Tempo rimasto prima dell'arresto: 00:00:40
(conto alla rovescia)
-
Messaggio:
E' necessario riavviare Windows Perchè
il servizio RPC (Remote Procedure Call)
è terminato in modo imprevisto.
Terminato
il conto alla rovescia, il sistema si
riavvia. Questo problema accade sempre
dopo pochi minuti che si è collegati
ad Internet.
Caratteristiche
Questo
nuovo worm (W32.Blaster.Worm)
sfrutta una vulnerabilità dei
sistemi operativi Windows NT/2000/XP/2003.relativa
al protocollo RPC (Remote Procedure
Call). L'infezione da parte del virus
si manifesta durante la connessione
Internet con degli errori di sistema
(NT AUTHORITY\SYSTEM) relativi, appunto,
al servizio RPC (Remote Procedure Call).
Le porte interessate dall'azione del
virus sono TCP:135;
TCP:4444 e UDP:69.
Di solito il sistema viene automaticamente
riavviato. Chi non ha installato la
patch risolutiva Microsoft MS03-026
ma ha avuto l'accortezza di installare
un buon software firewall si sarà
certamente accorto dei tentativi di
connessione sulla porta UDP:69. Il worm
è stato studiato per installarsi
su un pc di un utente remoto e permettere
di controllare tale computer a distanza,
all'insaputa del proprietario. Inoltre
è stato, programmato per lanciare
un attacco DoS contro WindowsUpdate
il 16 di ogni mese. Il worm W32.Blaster.Worm
riesce a replicarsi automaticamente.
NOTE:
- Questo problema di sicurezza non interessa
i sistemi Windows 9x/Me quindi sono
immuni al worm.
- La presenza di un firewall installato
nel proprio PC impedisce al worm di
attaccare il sistema, perchè
chiude la porta da lui usata la protezione
è valida a patto che il firewall
chiuda porta che utilizza dal worm.
Come
rimuovere il Worm e proteggere il sistema
Se
si è stati attaccati è
necessario la rimozione del worm e installare
le apposite patch. Quando
si è sotto l'attacco del worm
il pc si riavvia da solo nolto velocemente
non offrendo all'utente il tempo di
scaricare nulla da Internet. Per superare
questo ostatacolo si consiglia seguire
questa semplice procedura:
- Da Start > Esegui
digitare il comando msconfig
e confermate con invio e dal pannello
Avvio, disabbilitare tutte le esecuzioni
automatiche (ricordarsi di riattivarle
alla fine della rimozione del virus):
 |
Zoom |
- Riavviare il computer e andare in
...\windows\sistem32
e trovate il file msblaster.exe
ed eliminatelo.
- Attivare il firewall
- Andare in Pannello di controllo/Prestazioni
e manutenzione/Strumenti di amministrazione
e cliccare su Servizi. Cercate il servizio
RPC (Remote Procedure Call), guardate
le sue proprietà (tasto destro)
e visualizzate la scheda Ripristino.
Qui cambiate tutte tutte le voci Riavvia
il Servizio in Nessuna Azione. In questo
modo quando attiverete la connessione
in Internet e sarete sotto attacco,
il pc non si riavvierà ma sarà
e vi permetterà di scaricare
le patch necessarie.
A
questo punto scaricare uno dei tanti
removal tool, per esempio quello della
Symantec: FixBlast.exe e la patch per
il vosto sistema operativo:
Removal
tool di Symantec per il virus Lovsan
(W32.Blaster) FixBlast.exe
[165
KB]
|
Articoli & Guide 
