Новый червь смеется над Биллом Гейтсом
По Сети с угрожающей скоростью распространяется новый червь Blaster (так его назвали специалисты Symantec), известный также под кодовыми именами Lovsan (McAfee), Poza (CA) и MSBLAST (Trend). О появлении подобного вредоносного кода неоднократно предупреждали специалисты. Blaster использует «дыру» в операционных системах Windows NT/2000/XP и Windows 2003 Server, обнаруженную около 3 недель назад.
Первые сообщения об обнаружении червя Blaster появились 11 августа примерно в 23 часа по московскому времени. Интернет-червь использует для распространения уязвимость в службе Microsoft Windows DCOM RPC. Данная «дыра» позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы. Используя данную уязвимость, червь может распространяться самостоятельно, без вмешательства пользователя. По данным экспертов, вирус пока еще не вызвал серьезных сбоев в Сети, но угроза такого исхода сохраняется из-за его быстрого распространения.
Признаками заражения компьютера являются:
При запуске червь просматривает случайный диапазон IP-адресов для поиска уязвимых компьютеров. Через вышеуказанную уязвимость в службе Microsoft Windows DCOM RPC червь пытается установить удаленное соединение и передать уязвимому компьютеру команды на загрузку основного тела червя, которое отвечает за его размножение. После успешной загрузки основное тело червя копируется в каталог %WinDir%\\system32 и запускается на выполнение.
Червь создает в системном реестре ключ:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run “windows auto update” = msblast.exe I just want to say LOVE YOU SAN!! Bill
Благодаря фразе I just want to say LOVE YOU SAN! («Просто хочу сказать: любите свои SAN (системные сети)») червь получил одно из своих названий – Lovsan. Кроме того, в коде червя найдено послание, адресованное Биллу Гейтсу: “billy gates why do you make this possible? Stop making money and fix your software!” («Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!»).
Для защиты от червя специалисты в области информационной безопасности рекомендуют загрузить последнее обновление своего антивируса, провести сканирование и удалить все обнаруженные подозрительные файлы, а также установить «заплатку» от Microsoft и заблокировать порты 135, 69 и 4444 для предотвращения проникновения червя на компьютер.
Источник: по материалам Proantivirus Lab, Associated Press, Лаборатории Касперского , CNews.ru .
