Originariamente inviato da hako
La risposta è già nel thread più frequentato...
è stato da lì che qualche giorno fa ho recuperato queste info con le quali o "ripulito" 3 PC senza usare nessun tool.
Perciò se segui alla lettera non dovresti avere più problemi.
W32.Blaster.Worm descrizione e rimozione.
DESCRIZIONE:
W32.Blaster.Worm è un worm che sfrutta una vulnerabilità nell’interfaccia RPC/DCOM (Remote Procedure Call –
Distributed Component Object Model).
La vulnerabilità sembra che colpisca solo S.O. su piattaforma NT (NT, XP, 2000), ma non è escluso che S.O su
piattaforma 9x (95, 98, ME) possa creare lo stesso problemi sia di riavvio che di crash.
Ma come fa il worm a sfruttare questa vulnerabilità sui S.O. non patchati?
Come prima cosa scansione un numero di IP in maniera casuale collegandosi sulla porta 135 in TCP ed inizia ad inviare
dati che gli serviranno per verificare la presenza di macchine non patchate, quando ne trova una genera una shell
utile per collegarsi da remoto facendo in modo che la shell di sistema CMD.EXE sia in ascolto sulla porta 4444 in TCP.
Dopodiché cerca di trasferire il file msblast.exe (compresso in UPX) attraverso il
servizio TFTP (questo servizio viene installato per difetto nei sistemi XP, 2000 e
Server 2003), rimanendo in ascolto sulla porta 69 UDP, il file infetto verrà collocato in System32.
N.B.
TFTP (Trivial File Transfer Protocol)
È una versione semplificata del protocollo FTP (File Transfer Protocol) e permette il
trasferimento di archivi fra due macchine connesse alla rete.
Una volta infettata la macchina crea un mutex (BILLY) questo per evitare che eventuali copie del worm presenti sulla
macchina agiscano contemporaneamente.
Crea una nuova chiave nel registro ”windows auto update" = MSBLAST.EXE nella chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
All’interno del suo codice è presente questa striscia di testo non visibile all’utente
infettato.
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!
Da menzionare anche che il worm dal giorno 16 Agosto e fino all’ultimo giorno dell’anno in corso tenterà diversi attacchi
DoS (Denial of Service) ai danni del sito windowsupdate.com, un po’ come è accaduto lo scorso 11 Agosto.
RIMOZIONE:
Aprite la task (CTRL+SHIFT+ESC in NT, XP, 2000) (CTRL+ALT+CANC in ME)
terminate il processo MSBLAST.EXE
chiudete la task e riapritela per verificare d'avere effettivamente terminato il processo.
Eliminare il file MSBLAST.EXE in C:\Windows\System32 o C:\WINNT\System32
Portatevi in Start>Esegui => regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
ed elimate dal pannello di dx il valore
”windows auto update" = MSBLAST.EXE
Chiudete il registro.
DISABILITA SYSTEM RESTORE (per xp)
Sul desktop clicca col dx sull'icona "risorse del computer" e scegli "proprietà".
Scegli la scheda "ripristino configurazione di sistema".
Spunta la casella "Disattiva Ripristino configurazione di sistema su tutte le unità".
Spegni.
Riaccendi e deseleziona.
DISABILITA SYSTEM RESTORE (per Windows Millenium)
- Click on the Windows Start button.
- Select the Setting option.
- Select Control Panel.
- Double-click on the System icon.
- Select the Performance tab.
- Click on the File System button.
- Select the Troubleshooting tab.
- Check Disable System Restore by clicking on it.
- Click on OK.
- Uncheck Disable System Restore.
- Click on Apply.
- Click on OK.
- When prompted to confirm if you want to restart the computer, click on Yes.
When the computer restarts the virus will have been removed.
Installare la patch Microsoft.
N.B.
Dopo l'installazione della patch RIAVVIARE la macchina per permettere l'aggiornamento.
Consigliato Installare un Firewall.
Patch ed info:
http://support.microsoft.com/default...d=kb;IT;826955
Rispondi quotando
