Delicious
Meneame
Technorati
Digg
Yahoo Buzz
Google
Facebook
Reddit
Newsvine
StumbleUpon
- Descoberto:
- 11 de Agosto de 2003
- Atualizado:
- 13 de Fevereiro de 2007 12:08:58 PM
- Também conhecido como:
- W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
- Tipo:
- Worm
- Extensão da infecção:
- 6,176 bytes
- Sistemas afetados:
- Windows 2000, Windows NT, Windows Server 2003, Windows XP
- Referências CVE:
- CAN-2003-0352
O W32.Blaster.Worm é um worm que explora a vulnerabilidade RPC do DCOM do Microsoft Windows (descrita no Microsoft Security Bulletin MS03-026 - em inglês), usando a porta TCP de número 135. O worm afeta somente computadores baseados no Windows 2000 e Windows XP. Embora computadores baseados no Windows NT e no Windows 2003 Server possuam a vulnerabilidade mencionada acima (caso não tenham sido adequadamente corrigidos), o worm não foi codificado para replicar-se nesses sistemas. Este worm tenta fazer o download e salvar o arquivo Msblast.exe. no diretório %WinDir%\system32 e então executá-lo. O worm não possui a funcionalidade de propagação através de e-mail.
Informações adicionais e um local alternativo para fazer o download da correção da Microsoft está disponível no seguinte artigo dessa empresa: "What You Should Know About the Blaster Worm and Its Variants" (este recurso encontra-se em inglês).
Recomendamos o bloqueio do acesso a porta TCP número 4444 no nível do firewall e bloquear as seguintes portas, caso as aplicações abaixo não sejam usadas:
- Porta TCP 135, "DCOM RPC"
- Porta UDP 69, "TFTP"
O worm também tenta executar um Denial of Service (DoS - Negação de Serviço) no servidor do Windows Update (www.windowsupdate.com). Esta tentativa evita que você instale em seu computador a correção da vulnerabilidade explorada por ele.
Clique aqui para obter mais informações sobre a vulnerabilidade explorada pelo worm e para informar-se sobre quais produtos da Symantec podem ajudá-lo a reduzir os riscos desta vulnerabilidade.
NOTA: Esta ameaça será detectada pelas definições de vírus que possuem:
- Versão de definição (Defs Version): 50811s
- Número Sequencial (Sequence Number): 24254
- Versão extendida (Extended Version): 11/8/2003, rev. 19 (8/11/2003, rev. 19)
O Symantec Security Response desenvolveu uma ferramenta para limpar infecções do W32.Blaster.Worm.
Webcast do W32.Blaster.Worm
O webcast abaixo foi criado para trataru do assunto. Nele é possível encontrar estratégias de reduzir os danos e os riscos da infecção por este worm, e também fornece uma descrição detalhada do ataque DoS:
Informações adicionais e um local alternativo para fazer o download da correção da Microsoft está disponível no artigo "What You Should Know About the Blaster Worm and Its Variants".
Datas da proteção antivírus
- Versão inicial do Rapid Release11 de Agosto de 2003
- Última versão do Rapid Release1 de Março de 2011 revisão037
- Versão inicial diária certificada11 de Agosto de 2003
- Última versão diária certificada2 de Março de 2011 revisão002
- Data da versão inicial semanal certificada11 de Agosto de 2003
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.
Avaliação da ameaça
Disseminação
- Nível de disseminação:Low
- Número de infecções:More than 1000
- Número de sites:More than 10
- Distribuição geográfica:High
- Contenção da ameaça:Moderate
- Remoção:Moderate
Dano
- Nível do dano:Medium
- Causa a instabilidade do sistema:Pode causar travamentos nos computadores afetados.
- Compromete as configurações de segurança:De maneira oculta inicia uma sessão remota do cmd.exe.
Distribuição
- Nível de distribuição:Medium
- Portas:Porta TCP 135, TCP 4444 e UDP 69
- Alvo da infecção:Computadores executando serviços DCOM RPC vulneráveis.
Escrito por:Douglas Knowles, Frederic Perr