| Примерно с 12 августа всемирную сеть серьёзно потряс новый (но далеко не последний!) червь w32.Blaster.worm, использующий в своих коварных замыслах давно известную и давно (фактически более месяца назад, в июле) закрытую заплатками уязвимость DCOM RPC в Windows NT/2000/XP/2003. Соответственно, в Windows 9x червь проникнуть не может. Для успешного заражения этим вирусом достаточно иметь открытыми порты 135, 139, 445. «Голова» червя, специальный пакет данных, проникает в атакованную систему беспечного пользователя через незащищённый файерволлом порт 135 и после этого без какого-либо участия пользователя закачивает всё «тело» — файл-носитель MSBLAST.EXE (или TEEKIDS.EXE, или PENIS32.EXE) с помощью законной системной программы TFTP.EXE — мини FTP-сервера. Файл MSBLAST.EXE регистрируется в разделе Run системного реестра Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
"windows auto update"="msblast.exe"
И после перезагрузки ПК вирус срабатывает во всей своей красе. Затем вирус сканирует сеть в поисках других жертв и продолжает своё победное распространение по Интернету, генерируя огромный объём «левого» трафика (к слову, даже серверы windowsupdate.com компании Microsoft не выдержали его DDoS-атаки, активизирующейся 16 августа каждого месяца), а на компьютере пострадавшего отныне могут выполняться любые действия — перезагрузка, выполнение программ и т. п. К счастью, в своей исходной модификации вирус не удаляет, не изменяет и не похищает данные пользователя, но то ли ещё будет…
Таким образом, симптомы присутствия вируса в системе таковы:
- в папке WINDOWS\SYSTEM32\ присутствует файл MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE
- в списке запущенных процессов имеется один из вышеуказанных файлов
- наличие в разделе реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run команды на запуск вышеуказанного файла
- после нескольких минут работы в Интернете происходит перезагрузка компьютера
- в работе программ MS-Office наблюдаются многократные сбои
- появляются сообщения об ошибках, связанных с файлом SVCHOST.EXE
- на экране появляется окна с сообщением об ошибке RPC Service
Для удаления червя (в том числе вручную) и защиты от подобных вирусов впредь необходимо сделать следующее:
- отключитесь от Интернет
- используя менеджер процессов (вызывается клавишами CTRL-ALT-DEL), выгрузите из памяти процесс MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE
- удалите с диска соответствующий файл
- удалите в разделе реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run команду на запуск файла вируса
- перегрузите ПК
- более тщательно удалите все следы текущей модификации вируса из системы с помощью антивирусной программы или специальных бесплатных утилит, предназначенных исключительно для борьбы с «Lovesan»:
- Если постоянные перезагрузки, вызванные работой вируса, не дают возможности скачать обновление, то попробуйте временно переименовать файл TFTP.EXE (две его копии находятся в системном каталоге Windows, обычно \WINDOWS\SYSTEM32\, и скрытом каталоге \WINDOWS\SYSTEM32\DLLCACHE)
- Выполните "shutdown -a" если появилось окно перезагрузки.
Прямые ссылки на файлы
- Windows NT 4.0 Server
- Windows NT 4.0 Terminal Server Edition
- Windows 2000
- Windows XP 32 bit Edition
- Windows XP 64 bit Edition
- Windows Server 2003 32 bit Edition
- Windows Server 2003 64 bit Edition
|
