ALTE DOCUMENTE
|
||||||||||
je skutečným červem, který se nesíří pomocí elektronické posty ale přes bezpečnostní díru, nazývanou "Buffer Overrun In RPC Interface" a téz známou jako DCOM/RPC či MS03-026.
Tato bezpečnostní díra byla objevena 16. července 2003. Její detailní popis můzete nalézt zde.
Upozornění: Starsí operační systémy Win9x nemohou být tímto virem n 24424q1610y apadeny.
Win32:Blaster je dlouhý 6176 slabik a je zkomprimován programem UPX. Po spustění worm pouzívá sekvenční hledání IP adres od náhodně vygenerované adresy. Algoritmus preferuje sítě sousedící s infikovaným počítačem.
Win32:Blaster tak zkousí najít dalsí vhodné cíle napadení. Vzdy zkoumá 20 po sobě následujících adres a pokousí se připojit na port 135. Pokud je úspěsný, zkusí několik různých různých metod jak pouzít vzdálené DCOM. V případě, ze se mu to podaří, zkopíruje sebe sama na vzdálený počítač pomocí TFTP (Trivial File Transfer Protocol). Poté, co je worm úspěsně přenesen a ulozen pod jménem msblast.exe, je na vzdáleném počítači spustěn.
Worm
přidává následující klíč do registry:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto
update
aby byl aktivován při kazdém startu systému.
Manipulační rutina tohoto wormu můze způsobit útok typu DDoS (Distributed Denial of Service) na počítač windowsupdate.com po 15. srpnu 2003. počítače, nakazené wormem Blaster po tomto datu posílají velké mnozství paketů na tento počítač a tento útok je naplánován az do konce roku.
Worm obsahuje
následující text, který vsak nikdy není zobrazen:
I just
want to say LOVE YOU SAN!! billy gates why do you make
this possible ? Stop making money and
fix your software!!
Svou činností můze worm způsobit vynucený restart operačního systému. Systém v tom případě zobrazí okno s informací o restartu a s odpočítáváním o délce 60 sekund. Zpráva říká, ze restart si vynutila sluzba NT Authorization\System
Odstranění:
Na odstranění viru pouzijte nás avast!
Virus Cleaner. Napřed ale nainstalujte
vsechny záplaty pro Vás operační systém Windows, jinak se worm velice rychle objeví znovu!
Vsechny verze programu avast! jsou schopny tento worm detekovat, pokud je příslusný datový soubor VPS alespoň z 12. srpna 2003.
je skutečným červem, který se nesíří pomocí elektronické posty ale přes bezpečnostní díru, nazývanou "Buffer Overrun In RPC Interface" a téz známou jako DCOM/RPC či MS03-026.
Tato bezpečnostní díra byla objevena 16. července 2003. Její detailní popis můzete nalézt zde.
Upozornění: Starsí operační systémy Win9x nemohou být tímto virem n 24424q1610y apadeny.
Win32:Blaster je dlouhý 6176 slabik a je zkomprimován programem UPX. Po spustění worm pouzívá sekvenční hledání IP adres od náhodně vygenerované adresy. Algoritmus preferuje sítě sousedící s infikovaným počítačem.
Win32:Blaster tak zkousí najít dalsí vhodné cíle napadení. Vzdy zkoumá 20 po sobě následujících adres a pokousí se připojit na port 135. Pokud je úspěsný, zkusí několik různých různých metod jak pouzít vzdálené DCOM. V případě, ze se mu to podaří, zkopíruje sebe sama na vzdálený počítač pomocí TFTP (Trivial File Transfer Protocol). Poté, co je worm úspěsně přenesen a ulozen pod jménem msblast.exe, je na vzdáleném počítači spustěn.
Worm
přidává následující klíč do registry:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto
update
aby byl aktivován při kazdém startu systému.
Manipulační rutina tohoto wormu můze způsobit útok typu DDoS (Distributed Denial of Service) na počítač windowsupdate.com po 15. srpnu 2003. počítače, nakazené wormem Blaster po tomto datu posílají velké mnozství paketů na tento počítač a tento útok je naplánován az do konce roku.
Worm obsahuje
následující text, který vsak nikdy není zobrazen:
I just
want to say LOVE YOU SAN!! billy gates why do you make
this possible ? Stop making money and
fix your software!!
Svou činností můze worm způsobit vynucený restart operačního systému. Systém v tom případě zobrazí okno s informací o restartu a s odpočítáváním o délce 60 sekund. Zpráva říká, ze restart si vynutila sluzba NT Authorization\System
Odstranění:
Na odstranění viru pouzijte nás avast!
Virus Cleaner. Napřed ale nainstalujte
vsechny záplaty pro Vás operační systém Windows, jinak se worm velice rychle objeví znovu!
Vsechny verze programu avast! jsou schopny tento worm detekovat, pokud je příslusný datový soubor VPS alespoň z 12. srpna 2003.
|
