Win32/Blaster (Lovsan)

OΦekßvßnφ n∞kter²ch odbornφk∙ se vyplnilo, na sv∞t∞ je nefalÜovan² Φerv Win32/Blaster (nebo Win32/Lovsan) vyu₧φvajφcφ bezpeΦnostnφ dφru v DCOM RPC rozhranφ (detailn∞ popsßno v MS Bulletinu MS03-26).

VedlejÜφm efektem Φerva m∙₧e b²t nevyhnuteln² restart operaΦnφho systΘmu - netypick² tφm, ₧e je na n∞j upozorn∞no minutu p°ed jeho vykonßnφm a nßsledn∞ odpoΦφtßvßn Φas ! V zobrazenΘm textu je mimojinΘ k vid∞nφ °et∞zec "NT Authority\System".

NEJJEDNODUèè═ FORMA L╔╚EN═:

KROK PRVN═

  • Je NUTN╔ nainstalovat bezpeΦnostnφ zßplatu, pouhΘ odstran∞nφ Φerva antivirem NESTA╚═, v °ad∞ p°φpad∙ se toti₧ do n∞kolika minut vrßtφ a celß situace se opakuje ! BezpeΦnostnφ zßplatu lze stßhnout z tΘto adresy. Vyberte p°φsluÜn² operaΦnφ systΘm, kter² vlastnφte (v p°φpad∞ Windows XP volte 32-bit variantu) a potΘ v pravΘ Φßsti zvolte jazykovou verzi (change language) VaÜeho operaΦnφho systΘmu Windows - stiskn∞te GO ! Nßsledn∞ stßhn∞te vybranou zßplatu kliknutφm na odkaz, kter² se ve stejnΘ oblasti objevil.

    Nßsledujφ p°φmΘ odkazy na bezpeΦnostnφ zßplaty pro nejb∞₧n∞jÜφ operaΦnφ systΘmy:

    Windows XP Φeskß verze
    Windows 2000 Φeskß verze

    Windows 2000 anglickß verze
    Windows XP anglickß verze

    OperaΦnφch systΘm∙ Windows 9x (95, 98, ME) se problΘmy s tφmto Φervem net²kajφ !!!

    Mo₧n² problΘm

    Velk² problΘm m∙₧e p°edstavovat skuteΦnost, ₧e v²Üe uvedenΘ zßplaty nelze aplikovat na vÜechny verze Windows 2000 a XP, kterΘ se odvozujφ z p°φtomnosti "Service Pack∙" - SP (velk² balφk oprav a vylepÜenφ). V p°φpad∞ Windows 2000 je pro instalaci zßplat pot°eba nejmΘn∞ Service Pack 2, u Windows XP Service Pack 1. Pokud mßte Windows s ni₧Üφm Service Packem (tj. Windows 2000 SP1 nebo zcela bez SP - nejstarÜφ verze, nebo Windows XP bez SP - rovn∞₧ ·pln∞ nejstarÜφ verze XP), pak budete na tuto skuteΦnost upozorn∞ni b∞hem instalace v²Üe uveden²ch zßplat.

    V takovΘm p°φpad∞ je nutno nainstalovat i poslednφ Service Pack (SP) a potΘ se znovu pokusit o instalaci v²Üe uveden²ch bezpeΦnostnφch zßplat.

    Na instalaci "Service Pack∙" nenφ nic slo₧itΘho, op∞t v pravΘ Φßsti vyberete jazykovou verzi VaÜich Windows, potvrdφte a potΘ na stejnΘm mφst∞ (Φßst "Download") vyberete "Network Installation". Hlavnφ problΘm je ale v tom, ₧e Service Pack je ve vÜech p°φpadech p°es 100 MB velik²...

    Service Pack 4 pro Windows 2000
    Service Pack 1a Pro Windows XP

    Pokud nenφ mo₧nΘ momentßln∞ takovΘ mno₧stvφ dat stßhnout, pak m∙₧e b²t doΦasnou zßchranou instalace osobnφho firewallu (viz. dole), ka₧dopadn∞ do budoucna je urΦit∞ vhodnΘ poslednφ Service Pack i zßplatu nainstalovat !!!

    (tento krok je zßrove≥ prevencφ p°ed budoucφ infekcφ tφmto Φervem)

    KROK DRUH▌

  • Odstran∞nφ samotnΘho Φerva lze provΘst pomocφ jedno·ΦelovΘho antiviru McAfee Stinger, kter² lze stßhnout odsud.
    Druhou variantou m∙₧e b²t jedno·Φelov² antivirus spoleΦnosti Symantec - FixBlast.exe.
    P°ed pou₧itφm v²Üe uveden²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a deaktivovat funkci Restore / Obnova systΘmu, pokud jde o operaΦnφ systΘm Windows XP (tady je napsßno jak to provΘst).

    Tφmto je lΘΦenφ a prevence dokonΦeno/a :-)

    CO D╠LAT, KDYÄ NEST═H┴M ST┴HNOUT Z┴PLATU NEBO ANTIVIRUS ?

  • K odpoΦφtßvßnφ do restartu m∙₧e dochßzet okam₧it∞ po p°ipojenφ se k Internetu (jakmile se n∞jak² poΦφtaΦ ve sv∞t∞ "trefφ" zrovna do VaÜeho "nezßplatovanΘho" PC - p°esn∞ji IP adresy). Pokud to p°edstavuje problΘm pro ·sp∞ÜnΘ dokonΦenφ stahovßnφ zßplaty Φi antiviru, existuje nßsledujφcφ °eÜenφ:

  • Stiskn∞te tlaΦφtko START ve Windows na liÜt∞, zvolte NASTAVEN═ / OVL┴DAC═ PANELY (u XP vynechßme krok NASTAVEN═). Zvolte ikonu N┴STROJE PRO SPR┴VU, potom SLUÄBY a vyhledejte slu₧bu "VzdßlenΘ volßnφ procedur" (Remote Procedure Call). Dvakrßt na ni poklepejte myÜφ a v zßlo₧ce ZOTAVEN═ zm∞nte vÜechna SELH┴N═ na Ä┴DN┴ AKCE.
    MajitelΘ anglick²ch verzφ snad odpustφ :-)

  • Pokud u₧ dochßzφ k samotnΘmu odpoΦtu, lze pou₧φt p°φkaz: SHUTDOWN -A
    StaΦφ ho spustit p°es nabφdku START / SPUSTIT a tφm dojde k p°eruÜenφ vypφnßnφ Windows.

  • Infekci a p°φpadn²m restart∙m m∙₧e zabrßnit i funkΦnφ firewall. Ve Windows XP je internφ firewall, kter² je dobrΘ zapnout p°es tlaΦφtko START / OVL┴DAC═ PANELY / ikona S═ìOV┴ P╪IPOJEN═. Tam klikn∞te prav²m tlaΦφtkem myÜi na p°ipojenφ, kterΘ pou₧φvate na Internet, zvolte VLASTNOSTI a v zßlo₧ce UP╪ESNIT povolte Firewall.

  • PlnohodnotnΘ osobnφ firewally s mo₧nostφ filtrace i odchozφch paket∙ mohou b²t nap°φklad tyto:

    ZoneAlarm
    Kerio Personal Firewall

    Oba produkty jsou pro domßcφ pou₧itφ zdarma.

    ╚erv "bombarduje" nßhodnΘ IP adresy daty (TCP, na portu 135) a pokud jde naneÜt∞stφ zrovna o IP adresu stanice, kterß nenφ oÜet°ena p°φsluÜnou bezpeΦnostφ zßplatou, m∙₧e dojφt ke zneu₧φtφ v²Üe uvedenΘ bezpeΦnostnφ dφry. Takovß situace vede k tomu, ₧e Φerv se za vyu₧itφ TFTP na takovΘ stanici tiÜe usadφ !!! (Φerv nedokß₧e touto cestou infikovat PC s Windows °ady 9x/Me)

    Narozdφl od v∞tÜiny ostatnφch se tak neÜφ°φ e-mailem, n²br₧ na ·rovni sφ¥ov²ch paket∙. ╚ervu Win32/Blaster nahrßvß do karet skuteΦnost, ₧e jde o nov∞ objevenou bezpeΦnostnφ dφru, pro kterou se zßplaty objevily a₧ v polovin∞ Φervence 2003 !

    PoΦφnaje 16.srpnem 2003 se vÜechny infikovanΘ stanice pokusφ o hromadn² DDoS ·tok na server windowsupdate.com a masivnφm "bombardovßnφm" pakety (o dΘlce 40 bajt∙, ka₧d²ch 20 milisekund na port 80) se pokusφ o jeho doΦasnou likvidaci - zahlcenφ.

    ┌toky se dotknou pouze lokßlnφch sφtφ, ve kter²ch se vyskytujφ infikovanΘ stanice. Pokud toti₧ Φerv nedokß₧e zjistit od DNS IP adresu serveru windowsupdate.com (tomu je tak nynφ), jako adresu ·toku zvolφ "ob∞₧nφk" 255.255.255.255. ╚erv tak bude bombardovat pouze poΦφtaΦe "ve vedlejÜφ mφstnosti" na stejnΘm segmentu sφt∞ (nap°φklad v rßmci spoleΦnosti), jeliko₧ z principu router nedovolφ tomuto paketu cestu ven - do Internetu.

    V²Üe uvedenΘ detaily se t²kajφ varianty .A, ale v∞tÜinou i vÜech dalÜφch, kterΘ se liÜφ pouze nßzvem vypouÜt∞nΘho souboru.

    PREVENCE DO BUDOUCNA:

    Blokovat TCP port 135 na p°φpadnΘm firewallu a stßhnout si bezpeΦnostnφ zßplatu - odtud, pop°φpad∞ vyu₧φt "aktualizaΦnφ automat" - zde.

    MANU┴LN═ ODSTRAN╠N═ (varianta .A):

    Odmazat soubor MSBLAST.EXE z WINDOWS\SYSTEM32 adresß°e, vΦetn∞ odkazu na n∞j, kter² je k vid∞nφ v klφΦi registr∙ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Krom∞ toho je NUTN╔ nainstalovat p°φsluÜnou bezpeΦnostnφ zßplatu (odkaz v²Üe).


    • Jedno·Φelov² antivirus:

    Win32/Blaster.A - .F (Lovsan)
  • Popis/pou₧itφ: P°ed pou₧itφm tohoto antiviru je vhodnΘ nainstalovat tuto bezpeΦnostnφ zßplatu, jinak se infekce m∙₧e v budoucnu opakovat.

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.