Новая эпидемия: червь w32.Blaster.worm

Новая эпидемия: червь w32.Blaster.worm

Этим вечером, примерно после 23 часов по Москве, во многих форумах стали появляться сообщения о странном поведении Windows 2000 и Windows XP при заходе в Сеть: система выдала сообщение об ошибке сервиса RPC и необходимости перезагрузки. После перезагрузки сообщение повторялось максимум через несколько минут, и этому не было конца.



Проведенное расследование показало, что виной всему начавшаяся сегодня эпидемия нового сетевого червя w32.Blaster.worm.Червь эксплуатирует найденную 16 июля уязвимость в сервисе RPC DCOM, присутствующую во всех операционных системах семейств Windows 2000, Windows XP и Windows 2003. Эта уязвимость – переполнение буфера, которое вызывается соответствующим образом составленным TCP/IP пакетом, пришедшим на порт 135, 139 или 445 атакуемого компьютера. Она позволяет как минимум провести DoS-атаку (DoS означает “Denial of Service”, или “отказ в обслуживании”, в данном случае – атакуемый компьютер перезагружается), а как максимум – выполнить в памяти атакуемого компьютера любой код. Подробнее об уязвимости можно прочитать либо на сайте SecurityFocus, либо в официальном бюллетене Microsoft.

Первое, что вызвало обеспокоенность сетевой общественности еще до появления червя – это наличие очень простого в использовании эксплоита (программы для использования уязвимости), что обычно приводит к ситуации, когда любой желающий может взять эту программу и начать ей пользоваться отнюдь не в мирных целях. Однако это были цветочки...

Новый червь при своем распространении проводит атаку на 135-й порт, и, в случае успеха, запускает программу TFTP.exe, с помощью которой скачивает на атакуемый компьютер свой исполняемый файл. При этом пользователю выдается сообщение об остановке сервиса RPC и последующей перезагрузке. После перезагрузки червь автоматически запускается и начинает сканировать доступные с компьютера сети на предмет компьютеров с открытым 135-м портом. При обнаружении таковых червь проводит атаку, и все повторяется сначала. Причем, судя по темпам распространения на данный момент, скоро червь выйдет на первое место в списках антивирусных компаний.

Существуют три способа защиты от червя. Во-первых, в бюллетене Microsoft приведены ссылки на патчи для всех уязвимых версий Windows, закрывающие брешь в RPC (эти патчи были выпущены еще 16 июля, поэтому тем, кто регулярно обновляет систему, беспокоиться не стоит). Во-вторых, если 135-й порт закрыт файрволлом – червь не сможет проникнуть на компьютер. В-третьих, в качестве крайней меры помогает отключение DCOM (подробно эта процедура описана в бюллетене от Microsoft). Таким образом, если вы еще не подверглись атаке червя – настоятельно рекомендуется как можно скорее скачать патч для вашей ОС с сервера Microsoft, либо настроить блокировку портов 135, 139 и 445 в файрволле. Если же ваш компьютер уже заражен (а появление сообщения об ошибке RPC однозначно означает, что он заражен), то необходимо выключить DCOM (иначе каждая следующая атака будет вызывать перезагрузку), после чего скачать и установить патч. Для уничтожения червя необходимо удалить из ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "windows auto update"="msblast.exe", после чего найти и стереть файл msblast.exe – это и есть тело червя. Более подробно о процедуре удаления червя можно прочитать на сайте Symantec.

Также отмечу, что на данный момент не все антивирусы обнаруживают червя – надеяться на защиту с их стороны можно будет только завтра, после выхода обновлений.

Источник: Ф-Центр

Пользователи нашей сети могут установить заплатки для Windows XP с файл-сервера