BM03-011 - Blixtmeddelande från Sveriges IT-incidentcentrum - Lovsun-MSBALSTER

Blixtmeddelande från Sveriges IT-incidentcentrum - ny internetmask: Lovsan/MSBLASTER
 
Prioritet: Hög
Sitic id: BM03-011
Datum: 030812
Tid: 09:47
 
Microsoft RPC DCOM mask med namnalias: W32.Blaster.Worm, W32/Lovsan.worm, WORM_MSBLAST.A, Win32.Posa.Worm, Lovsan, MSBLASTER,Win32.Poza börjar sprida sig lavinartat på Internet.
 
Problembeskrivning:
Masken använder sig av RPC & DCOM sårbarheten som beskrivs i (SR03-010) för att sprida sig. När den finner ett sårbart system förgrenar den sig genom att öppna port 4444 och använder den för att via TFPT (Trivial Ftp) ladda ner själva masken.
 
Verkan:
Masken skapar ett registervärde under: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update. På detta sätt startar masken varje gång windows startas. Den 16:e augusti kommer infekterade maskiner att skicka stora mängder paket till windowsupdate.com på port 80, 40 byte stora paket var 20:e millisekund.
 
Påverkade versioner:
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows 2003 Server
 
Mer information:
 http://www.f-secure.com/v-descs/msblast.shtml
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
http://vil.nai.com/vil/content/v_100547.htm
http://www.sophos.com/virusinfo/analyses/w32blastera.html
 
Tillgänglig uppdatering:
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp/
http://www.microsoft.com/security/security_bulletins/ms03-026.asp/