W32.Blaster.Worm

Начи ,тоя вирос ми рестартва рс-то автоматично ,и не знам как да го махна понеже нортан не мойе го открие ,и ф -прот същои сега незнам какво да прая,ако някои е имал съштия проблем моля да ми помогне!!

П.С. Аз сам ламер о6те такаче ще помоля малко по подробно ..:)

Предварително благодаря!!!!

Значи от днес и аз имах същия проблем. Мога да ти кажа че последните вирусни дефиниции на НАВ го хващат това говедо а това е линк към сайта на симантек където пише повече за него http://securityresponse.symantec.com...ster.worm.html

АА забравих да ти кажа че има програмка, която го маха пак на същия сайт. Ето ти линк за нея http://securityresponse.symantec.com...r/FixBlast.exe

По дяволите!!! И на мен ми рестартира PC-то да го вземат мътните! Дава ми следното:



This system is shutting down. Please saved all unsaved information. All unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM. Windows must now restart becayse the Remote Call Pocedure (RPC) service terminated unexpectedly.

Четете тук: http://www.f-prot.com/virusinfo/desc.../msblastA.html

Май вече се оправиха нещата. Странно защо в нито един от тези сайтове не пише, че червеят води до произволно рестартиране на системата?!

Да има някой заразен, който да използва windows 2003 server ?

Защото пише, че се заразяват само windows 2000 и ХР, а пък есплойта го има и при 2003.

През RUN в msconfig

Там в StartUp се деактивира началното зареждане на msblast.exe

Рестарт на машината.



През RUN в regedit

С Ctrl+F търсим msblast.exe

Намираме го най малко един път, като най - важна е секцията

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Там изтриваме и key name и data съдържащи msblast.exe

Windows Update се казва key name или неща такова.

Логично е да е последния запис в секцията.



Ако го намерим и в друга секция, то ще е в резултат на търсене на файла msblast.exe в експлорер. При мен беше така. Изтриваме и там, ако има такива записи. Това го правим за да можем след това да изтрием самия файл msblast.exe

Той се намира в

Drive letter :\Windows\system32.

Рестарт отново и вече го няма.



Имам обаче лошо предчувствие, че създава следния файл, който съдържа копие на вируса. Така пишат и мъдрите глави.

%sysdir%\msblast.exe

edit /Предчувствието ми се оправда/



Разговорно наименование

Blaster

Техническо наименование

W32/Blaster

Threat Ниво:

Severe

Разновидности, мутации

W32.Blaster.Worm, W32/Lovsan.worm, WORM_MSBLAST.A, Win32.Poza

Тип

Червей

Обсег

Windows NT/2000/XP

Забелязан за пръв път

11 Август 2003 г.

Циркулация в момента

Да



Blaster е вирус, тип червей който инфектира само Windows 2003/XP/2000/NT компютри. Blaster използва експлойта Buffer Overrun in RPC Interface за да зарази възможно най голям брой компютри.



Blaster изпълнява denial of service (DoS) атака срещу windowsupdate.com web страницата. Това става, като Blaster изпраща 40 битови пакети на всеки 20 милисекунди, използвайки порт TCP 80.



Симптоми

=Мрежовия трафик през портове TCP 135, 4444 и UDP 69 се увеличава.

=Атакувания компютър блокира и рестартира, защото в програмния код на червея е допусната нарочно програмна грешка.

<blockquote id="quote"><font size="1" id="quote"><b id="quote">цитат:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">Да има някой заразен, който да използва windows 2003 server ?

Защото пише, че се заразяват само windows 2000 и ХР, а пък есплойта го има и при 2003.



<div align="right">оргинално мнение на Suren</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">



Има - сървъра на SetCom.bG [:D]

Отгоре на всичко, ако си с бета няма оправия - само зачистване става, но ъпдейта не се инсталира - можеш да забраниш 3-те порта, по които се атакува, но ще имаш проблем с Remote Desktop... Можеш да кажеш на сървиса да не рестартира компютъра, но това е временно решение..

Абе шибан проблем ако си с бета.

Ако не - няма грижи - маха се лесно.

Toku shto kazaha za virusa po novinite!

Мисля, че този патч може да предпази тези които не са заразени



Blaster Worm: Critical Security Patch for Windows XP



http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=2354406c-c5b6-44ac-9532-3de40f69c074

Aз имах само W32 worm, това msblast.exe го нямаше при мен :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



Оправих нещата с F-Prot за Win [:p]

И аз от вчера имам проблем с него. Да се надяваме, че съм го оправил - пълно сканиране на системата с NAV плюс програмката за отстраняването, а преди това (т.е. вчера) ръчно изтрих всичко, което успях да открия, файлове и записи в регистрито. Нортъна казва, че нямам вируси, ама да видим...:).

NAV до вчера не знаеше за такъв вирус.

Нямаше го в дефинициите от 11.08.2003 rev. 19

Днес не знам.

Така че Нортъна нищо няма и да ти каже.

Следвай това, което съм написал по горе или си пусни FixBlast.exe ver. 1.0.0.0 от вчера. Той прави същото, които съм написал, само че автоматично.

Спира msblast.exe процеса

Трие msblast.exe от секцията RUN в регистратурата

Изтрива msblast.exe от system32



Изтегли го от тук



http://securityresponse.symantec.com...r/FixBlast.exe



Много е важно да се отбележи, че преди пускането на FixBlast.exe, при XP, SystemRestore трябва да е е изключено.

Right Button върху My Computer, Properties, SystemRestore и там има еднин check box за тая цел. Check-ваш го, съгласяваш се и готово.

След приключване на работа на FixBlast, SystemRestore отново e редно да се включи.



Тогава се инсталира Patch-a на Microsoft за XP или 2000 в зависимост от системата. Той оправя проблема с Remote Procedure Call service, който вируса използва за overrun.



Patch-a се изтегля от тук за Windows XP 32 bit Edition

http://microsoft.com/downloads/detai...displaylang=en



от тук за Windows XP 64 bit Edition

http://microsoft.com/downloads/detai...displaylang=en



от тук за Windows 2000

http://microsoft.com/downloads/detai...displaylang=en



от тук за Windows NT 4.0 Server

http://microsoft.com/downloads/detai...displaylang=en



от тук за Windows NT 4.0 Terminal Server Edition

http://microsoft.com/downloads/detai...displaylang=en



от тук за Windows Server 2003 32 bit Edition

http://microsoft.com/downloads/detai...displaylang=en



от тук за Windows Server 2003 64 bit Edition

http://microsoft.com/downloads/detai...displaylang=en

<blockquote id="quote"><font size="1" id="quote"><b id="quote">цитат:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">NAV до вчера не знаеше за такъв вирус.

Нямаше го в дефинициите от 11.08.2003 rev. 19



<div align="right">оргинално мнение на Malone</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">



Само за това н есъм съгласен.... [;)]



http://mediapool.bg/emo/blaster.jpg