Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad - Sårbarhet

SR03-011 Ny Internetmask: Lovsan/MSBLASTER

Publicerad: 030812

Problembeskrivning:
Masken använder sig av RPC och DCOM sårbarheten som beskrivs i SR03-010 för att sprida sig. När den finner ett sårbart system förgrenar den sig genom att öppna port 4444 på det angripna systemet där den installerar ett shell. Därefter ser den till att det angripna systemet laddar ner själva masken "msblast.exe" via TFTP (Trivial File Transfer Protocol) från en TFTP-server som den har installerat lokalt på maskinen där masken befinner sig. Sedan sker samma procedur från den nyss angripna maskinen mot någon annan maskin som har samma sårbarhet.

Allvarlighetsgrad:
Kritisk

Verkan:
Masken skapar ett registervärde under: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update. På detta sätt startar masken varje gång windows startas. Den 16:e augusti kommer infekterade maskiner att skicka stora mängder paket till windowsupdate.com på port 80, 40 byte stora paket var 20:e millisekund. Infekterade system förses med en bakdörr som rapporterar till en IRC-kanal att systemet är infekterat, vilket gör att angripare kan försöka att attackera systemet.

Påverkade versioner:
Windows NT 4.0
Windows NT 4.0 Terminal Services Edition
Windows 2000
Windows XP
Windows 2003 Server

Mer information:

http://www.f-secure.com/v-descs/msblast.shtml

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

http://vil.nai.com/vil/content/v_100547.htm

http://www.sophos.com/virusinfo/analyses/w32blastera.html

Motverkan:
Stäng av portarna: TCP: 135, 139, 445, 593, 4444 UDP: 69, 135, 139, 445 mot Internet. Uppdatera systemet med de senaste systemuppdateringarna.

För problem med omstart av systemet finns följande råd:
Gå till Kontrollpanelen | Administrationsverktyg | Tjänster. Under tjänster leta fram "Remote Procedure Call" och högerklicka på tjänsten | Gå till Egenskaper | Välj fliken återställning. Se till att "Ingen åtgärd" eller "Starta om tjänsten" är vald i rutorna: Första försöket, Andra försöket och Efterföljande försök.

System/programuppdatering finns på:

http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx/