Stadig mange uopdaterede Windows systemer mål for W32/Blaster orm.

Artiklen blev oprindeligt publiceret den 13/8/2003

Der indløber stadig rapporter til DK-CERT om sårbare systemer som W32/Blaster ormen udnytter. Ormen, som udnytter DCOM RPC sårbarhed i Windows, ses stadig aktiv på den danske del af internettet.

Mange Windows systemer er endnu ikke opdaterede med de sidste nye Windows programrettelser, og de er derfor sårbare overfor den nye orm W32/Blaster, samt andre exploits (programmer der udnytter sårbarheden) som er aktive på internettet i øjeblikket.

Det anbefales kraftigt, at alle sårbare systemer opdateres med de sidste nye programrettelser.

Følgende systemer indeholder den aktuelle DCOM RPC sårbarhed (MS03-026):

Microsoft Windows NT® 4.0
Microsoft Windows NT® 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003

Microsoft Windows 2000, XP og Server™ 2003 understøttes af Windows Update og kan derfor benytte denne (se medfølgende link til Windows Update).
Microsoft Windows NT® 4.0 og NT® 4.0 Terminal Services Edition understøttes ikke af Windows Update, men der er udgivet programrettelser (se medfølgende links til hver af de to systemer).

Endelig kan man vælge at deaktivere DCOM service i Windows (se medfølgende link til Microsoft's vejledning).

Programrettelserne og workaround nævnt foroven fjerner IKKE W32/Blaster ormen, kun sårbarheden som den udnytter.

Ormen kan derimod afsløres med et skanningsværktøj eller konstateres med manuel søgning efter specifikke filer (bla. msblast.exe), og hvis systemet er kompromitteret af ormen, kan denne fjernes manuelt eller ved anvendelse af et af de publicerede værktøjer (se medfølgende links).

Links

• Microsoft Windows Update
• Opdatering til Windows NT 4.0
• Opdatering til Windows NT 4.0 Terminal Server Edition
• Beskrivelse og værktøj til at fjerne W32/Blaster ormen, hos Symantec
• Anvisning fra CERT-CC, som beskriver manuel fjernelse af ormen og evt. deaktivering af DCOM