Uppdaterad | Publicerad
SR03-011 Ny Internetmask: Lovsan/MSBLASTER
Publicerad: 030812
Problembeskrivning:
Masken använder sig av RPC och DCOM sårbarheten som beskrivs i SR03-010 för att sprida sig. När den finner ett sårbart system förgrenar den sig genom att öppna port 4444 på det angripna systemet där den installerar ett shell. Därefter ser den till att det angripna systemet laddar ner själva masken "msblast.exe" via TFTP (Trivial File Transfer Protocol) från en TFTP-server som den har installerat lokalt på maskinen där masken befinner sig. Sedan sker samma procedur från den nyss angripna maskinen mot någon annan maskin som har samma sårbarhet.
Allvarlighetsgrad:
Kritisk
Verkan:
Masken skapar ett registervärde under: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update. På detta sätt startar masken varje gång windows startas. Den 16:e augusti kommer infekterade maskiner att skicka stora mängder paket till windowsupdate.com på port 80, 40 byte stora paket var 20:e millisekund. Infekterade system förses med en bakdörr som rapporterar till en IRC-kanal att systemet är infekterat, vilket gör att angripare kan försöka att attackera systemet.
Påverkade versioner:
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows 2003 Server
Mer information:
http://www.f-secure.com/v-descs/msblast.shtml
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
http://vil.nai.com/vil/content/v_100547.htm
http://www.sophos.com/virusinfo/analyses/w32blastera.html
Motverkan:
Stäng av portarna: TCP: 135, 139, 445, 593, 4444 UDP: 69, 135, 139, 445 mot Internet. Uppdatera systemet med de senaste systemuppdateringarna.
För problem med omstart av systemet finns följande råd:
Gå till Kontrollpanelen | Administrationsverktyg | Tjänster. Under tjänster leta fram "Remote Procedure Call" och högerklicka på tjänsten | Gå till Egenskaper | Välj fliken återställning. Se till att "Ingen åtgärd" eller "Starta om tjänsten" är vald i rutorna: Första försöket, Andra försöket och Efterföljande försök.
System/programuppdatering finns på:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx/