Virus : W32/Lovsan.worm

Naviga SWZ: Home Page » News
News del 12 Agosto 03 Autore: Eymerich
Virus : W32/Lovsan.worm
Si segnala la rapida diffusione di un worm che sfrutta una falla degli Os Windows : <b>Lovsan</b>. Ancora una volta sarebbe bastato applicare tempestivamente le patch ( vedi <a href= target=_blank>MS Security Bulletin MS03-026</a> ). <b>Descrizione :</b> <b><font color=green>W32/Lovsan.worm.a</font></b> Identificato l'11 agosto 2003 <i>Alias</i> : msblast.exe tftp W32.Blaster.Worm (Symantec) Win32.Poza (CA) WORM_MSBLAST.A (Trend) Win32.Msblast.A (BitDefender) Il worm va alla ricerca di sistemi non aggiornati attraverso la scansione casuale di indirizzi IP sulla porta 135 : i computer vittima vengono predisposti per scaricare ed eseguire da remoto il file MSBLAST.EXE. Una volta infettato, <u>il sistema è preda di qualsiasi azione ostile</u> : un attaccante può ottenere il completo controllo da remoto della macchina vittima. Come se già non bastasse, una sequenza di istruzioni nel worm prevede l'attivazione per il 16 di ogni mese di un attacco DoS contro WindowsUpdate.com. <b>Sintomi principali :</b> <Li> <b><font color=blue>Presenza del file MSBLAST.EXE nella directory SYSTEM32 di Windows</font></b> <Li> Presenza di chiavi di registro uguali o simili a queste : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill <Li> <b>Improvviso susseguirsi di errori nel servizio RPC (con conseguente riavvio del sistema) e in svchost.exe</b>. <b>N.B.</b> <font color=green>La finestra di segnalazione errori e il messaggio "E' necessario riavviare Windows perchè il servizio RPC..." non indicano l'infezione già avvenuta, ma <i>solo</i> che c'è stato un attacco al sistema vulnerabile.</font> <font color=blue>L'attacco è riuscito e il sistema compromesso qualora si ritrovi traccia del file msblast.exe, di anomali file TFTP e delle modifiche al registro di configurazione.</font> Invitiamo ( chi non lo avesse ancora fatto ) ad aggiornare <b>subito</b> il proprio sistema operativo scaricando le patch da <b> <a href= target=_blank>QUESTA PAGINA</a> </b>. A chi invece fosse già capitato di infettarsi, consigliamo l'uso di un removal tool subito dopo aver applicato la patch e riavviato il sistema. <u>Nota</u> Anche in Win98/ME/NT ci si può ritrovare il famigerato msblast.exe, ma è solo in Win2K e XP che avviene l'esecuzione automatica del virus. <b>Guida Microsoft per la prevenzione e la rimozione del virus</b> : <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://www.microsoft.com/italy/security/articles/blast.asp?&SD=GN&LN=IT&gssnb=1 target=_blank>Come proteggersi dal virus Blaster e dalle sue varianti </a> <b>Tools di rimozione e varianti riconosciute :</b> <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://download.nai.com/products/mcafee-avert/stinger.exe target=_blank>McAfee Stinger</a> a-b-c-e 686 Kb <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://securityresponse.symantec.com/avcenter/FixBlast.exe target=_blank>Symantec W32.Blaster.Worm Removal Tool</a> a-b-c 139 Kb <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www.bitdefender.com/bd/downloads/removaltools/Antimsblast-EN.exe target=_blank>BitDefender Removal Tool</a> a-b-c 56,5 Kb <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip target=_blank>F-Secure Removal Tool</a> 45 Kb <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www.sophos.com/misc/blastsfx.exe target=_blank>Sophos</a> 124 Kb <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip target=_blank>Computer Associates</a> 333 Kb <img src=https://www.swzone.it/img/download.gif align=absmiddle> <b><a href=http://download.microsoft.com/download/4/5/5/4555e3fd-d6ad-4def-bb61-9853d3dcb4ca/Windows-KB833330-ITA.exe target=_blank>Microsoft Removal Tool</a></b> 315 Kb Varianti : <Li>teekids.exe ( identificato come <b>W32/Lovsan.worm.b</b> ) Aggiunge al registro questa chiave : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run "Microsoft Inet Xp.." = teekids.exe Microsoft can suck my left testi! Bill File presenti nella directory Windows/System32 : Root32.exe (backdoor) teekids.exe(worm) <Li>penis32.exe ( identificato come <b>W32/Lovsan.worm.c</b> ) Aggiunge al registro questa chiave : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run "windows auto update" = penis32.exe <Li>MSLAUGH.EXE ( identificato come <b>W32/Lovsan.worm.e</b> ) Aggiunge al registro questa chiave : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run "Windows Automation" = mslaugh.exe <Li>ENBIEI.EXE ( identificato come <b>W32/Lovsan.worm.f</b> ) Aggiunge al registro questa chiave : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run "www.hidro.4t.com" = enbiei.exe <font color=green> Per gli utenti di McAfee VirusScan</font> : sono correttamente identificate dalle firme 4285 del 13/08/2003 e successive. <font color=green> Per gli utenti di Norton AntiVirus</font> : sono correttamente identificate dalle firme 20030813 del 13/08/2003 in poi. Microsoft ha messo a disposizione un piccolo tool che identifica i sistemi da aggiornare. <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href= target=_blank>MS03-026 Scanning Tool</a> <font size=1>++ Ultimo aggiornamento del 7/1/2004 h 12:38 ++</font>
44 - Commento/i sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE