Flere versioner af W32/Blaster orm i omløb

Artiklen blev oprindeligt publiceret den 14/8/2003

Indtil nu er der identificeret 3 versioner af W32/Blaster ormen. Alle 3 udnytter Microsofts DCOM RPC-sårbarhed til at kompromittere Windows, samt at boprette en bagdør på systemet som angribes.

Der er rapporteret om 3 versioner af W32/Blaster ormen, som udnytter DCOM RPC-sårbarheden i Windows (MS03-026).
Alle versioner af ormene foretager sig følgende:
- scanner på TCP-port 135,
- benytter en TFTP server som lytter på UDP-port 69 til at overføre filer til den angrebne maskine,
- installerer en bagdør som lytter på TCP-port 4444,
- overfører og kører en kopi af ormen for at angribe flere sårbare maskiner, og
- iværksætter et Denial of Service angreb mod windowsupdate.com efter d. 15. august.

Ormene rammer Windows 2000, Windows XP, Windows NT og Windows server 2003.

Navnene på de filer som ormen kopierer til det angrebne system varierer:
W32/Blaster: benytter sig af "MSBLAST.EXE"
W32/Blaster.B: benytter sig af "PENIS32.EXE"
W32/Blaster.C: benytter sig af "TEEKIDS.EXE"

For mere detaljeret hjælp og automatisk rensning af systemet, se din antivirus-leverandør's hjemmesider.

Her følger en sammenfatning af de vigtigste trin fra CERT-CC's anvisninger for Windows XP. Vejledningen tager sigte på W32/Blaster (MSBLAST.EXE), men kan også anvendes ved inficering af W32/Blaster.B (PENIS32.EXE) og W32/Blaster.C (TEEKIDS.EXE):

1) Tag computeren af netværket.

2) Stop "msblast.exe" processen med Task Manager:
Tryk Ctrl-Alt-Delete
Klik på "Jobliste" knappen
Vælg "Processer" fanen
Marker "MSBLAST.EXE"
Højre klik på musen og vælg "Afslut Process" i menuen, svar "Ja" til advarsels-dialogboksen.

3) Slet filen med navnet "msblast.exe" i systemet:
Start -> Søg -> Efter filer eller mapper
Søg efter "MSBLAST.EXE"
Højre klik på filen og slet den.

4) Genstart maskinen og forbind den med netværket.

5) Installer programrettelsen fra Windows Update:
Følg linket til Windows Update og følg instruktionerne


For flere detaljere i fremgangsmåden til at rense en Windows XP, se medfølgende link til CERT-CC's beskrivelse.

Metoden til rense andre Windows systemer kan variere og det tilrådes at læse vejledningerne som de enkelte antivirus-leverandører har publiceret.
Vi gør i denne forbindelse opmærksom på, at W32/Blaster kan kendes under flere navne (feks. W32/Lovsan.worm, Worm_MSBlast, etc.) afhængig af antivirus-leverandøren.

Links

• Anvisning fra CERT-CC, som beskriver manuel fjernelse af ormen og evt. deaktivering af DCOM
• Microsofts beskrivelse og anvisninger for fjernelse af ormen