Повече за червея MSBlast ! Печат

Повече за червея MSBlast

Какво представлява червеят MSBlast и как работи той?

Червеят MSBlaster заразява компютрите през мрежовите връзки. Той може да нападне не само един компютър, а цели компютърни мрежи. Поразява компютри с Windows NT/2000/XP(SP1). Вирусът MSBlast преглежда произволни IP-та като търси системи с уязвимостта RPC DCOM buffer overrun. Този вирус, наричан още Lovsan създава ключ в системните регистри на уязвимите компютри:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

”windows auto update" = MSBLAST.EXE (variant A)

”windows auto update" = PENIS32.EXE (variant B)
”Microsoft Inet xp.." = TEEKIDS.EXE (variant C)
"Nonton Antivirus=mspatch.exe" (variant E)
"Windows Automation" = "mslaugh.exe" (variant F)
"www.hidro.4t.com"="enbiei.exe" (variant G)

Ако системата има връзка с интернет, вирусът започва да сканира произволни IP адреси като търси компютри с уязвимостта RPC DCOM buffer overrun, за която споменах малко по-нагоре. Попадне ли вирусът в дадена компютърна система той се опитва да изпълни тази уязвимост, в следствие на което системата става крайно нестабилна. Характерна е появата на прозорец, отброяващ обратно една минута, след която следва рестартиране.

Съобщението гласи: Windows must now restart because the Remote Procedure Call (RPC) service terminated unexpectedly.

Вие можете да деактивирате това спиране като следвате стъпките по-долу по време на обратното броене:

1. Отидете на Start >>> Run

2. Отваря ви се малък прозорец, в който трябва да напишете CMD

3. Стартира ви се Command Prompt, в който пишете командата: SHUTDOWN –A

По този начин вие прекратявате това спиране на системата, което може да ви попречи по време на почистването на вируса.

Червеят създава Mutex с името ‘BILLY’. След като намери Winsock червея проверява за наличните мрежови връзки в системата и в случай, че намери започва операция по сканиране. Ако няма налични връзки временно прекратява дайствието си, но периодично проверява за такива връзки.

MSBlast съдържа DOS програма, насочена към windowsupdate.com. Изпълнението на тази програма зависи от системната дата на локалната система. Ако тази дата е след 15 число програмата се изпълнява.

В червея се съдържат два низа, които не могат да се видят:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Как да го премахнем?

1. Трябва да свалите „кръпка” за тази дупка в сигурността:

Инсталирайте сваления patch.

2. Изключете достъпа до интернет. Бъдете сигурни, че не сте свързани към никаква мрежа.

3. Влезте в Start >>> Run >>> напишете команда regedit. В левия панел на прозореца изберете HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Current Version>Run и изтрийте следните регистри:

”windows auto update" = MSBLAST.EXE (variant A)
”windows auto update" = PENIS32.EXE (variant B)
”Microsoft Inet xp.." = TEEKIDS.EXE (variant C)
"Nonton Antivirus"=MSPATCH.EXE (variant E)
"Windows Automation" = "mslaugh.exe" (variant F)
"www.hidro.4t.com"="enbiei.exe" (variant G)

4. Деактивирайте System Restore, отидете на Start >>> Search и задайте да търси в папка WINDOWS папки и файлове с име msblast*.* Изтрийте намерените папки и файлове. В случай, че Windows не позволи файл с име msblast*.* да бъде изтрит, влезте в Task Manager (ctrl+alt+del), намерете този процес и го прекъснете.

5. Желателно е да рестартирате компютъра и да сканирате с обновена антивирусна програма. Можете да използвате за всеки случай и Removal Tools, изтеглени от сайта на Symantec - Symantec removal tool.

10/15/2005/