W32.Blaster.Worm descrizione e rimozione.
Descrizione:
W32.Blaster.Worm è un worm che sfrutta una vulnerabilità nell’interfaccia RPC/DCOM (Remote Procedure Call – Distributed Component Object Model).
La vulnerabilità sembra che colpisca solo S.O. su piattaforma NT (NT, XP, 2000), ma non è escluso che S.O su piattaforma 9x (95, 98, ME) possa creare lo stesso problemi sia di riavvio che di crash.
Ma come fa il worm a sfruttare questa vulnerabilità sui S.O. non patchati?
Come prima cosa scansione un numero di IP in maniera casuale collegandosi sulla porta 135 in TCP ed inizia ad inviare dati che gli serviranno per verificare la presenza di macchine non patchate, quando ne trova una genera una shell utile per collegarsi da remoto facendo in modo che la shell di sistema CMD.EXE sia in ascolto sulla porta 4444 in TCP.
Dopodiché cerca di trasferire il file msblast.exe (compresso in UPX) attraverso il servizio TFTP (questo servizio viene installato per difetto nei sistemi XP, 2000 e Server 2003), rimanendo in ascolto sulla porta 69 UDP, il file infetto verrà collocato in System32.
N.B.
TFTP (Trivial File Transfer Protocol)
È una versione semplificata del protocollo FTP (File Transfer Protocol) e permette il trasferimento di archivi fra due macchine connesse alla rete.
Una volta infettata la macchina crea un mutex (BILLY) questo per evitare che eventuali copie del worm presenti sulla macchina agiscano contemporaneamente.
Crea una nuova chiave nel registro
”windows auto update" = MSBLAST.EXE nella chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
All’interno del suo codice è presente questa striscia di testo non visibile all’utente infettato.
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!
Da menzionare anche che il worm dal giorno 16 Agosto e fino all’ultimo giorno dell’anno in corso tenterà diversi attacchi DoS (Denial of Service) ai danni del sito windowsupdate.com, un po’ come è accaduto lo scorso 11 Agosto.
Rimozione:
Aprite la task (CTRL+SHIFT+ESC in NT, XP, 2000) (CTRL+ALT+CANC in ME)
terminate il processo MSBLAST.EXE
chiudete la task e riapritela per verificare d'avere effettivamente terminato il processo.
Eliminare il file MSBLAST.EXE in C:\Windows\System32 o C:\WINNT\System32
Portatevi in Start>Esegui => regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CurrentVersion\Run
ed elimate dal pannello di dx il valore
”windows auto update" = MSBLAST.EXE
Chiudete il registro.
Disabilitare il System Restore, riavviare e riabilitarlo.
Installare la patch Microsoft.
N.B.
Dopo l'installazione della patch RIAVVIARE la macchina per permettere l'aggiornamento.
Installate un Firewall.
Link utili:
Patch Microsoft
tool Symantec
tool Bitdefender
tool stinger N.A.I.
Marco(amvinfe)