Rilevato: August 11, 2003
Aggiornato: February 13, 2007 11:34:52 AM
Tipo: Removal Information


La versione 1.0.6.1 dello strumento di rimozione di W32.Blaster.Worm rimuove le seguenti infezioni e relativi effetti collaterali:
W32.Blaster.Worm
W32.Blaster.B.Worm
W32.Blaster.C.Worm
W32.Blaster.D.Worm
W32.Blaster.E.Worm
W32.Blaster.F.Worm

Nota importante:

  • W32.Blaster.Worm sfrutta la vulnerabilità DCOM RPC descritta in Microsoft Security Bulletin MS03-026, dove è anche disponibile una patch che va scaricata e installata. In molti casi, sarà necessario svolgere questa operazione prima di proseguire con le istruzioni per la rimozione. Se non è possibile rimuovere l'infezione o impedire che questa si ripeta utilizzando le istruzioni fornite di seguito, scaricare e installare prima la patch.
  • Nell'articolo di Microsoft Come proteggersi dal virus Blaster e dalle sue varianti vengono fornite ulteriori informazioni in merito e un sito alternativo dal quale scaricare l'aggiornamento Microsoft.
  • A causa del modo di operare del worm può essere difficile connettersi a Internet per ottenere l'aggiornamento, le definizioni i lo strumento di rimozione prima che il worm arresti il sistema. È stato segnalato che per gli utenti di Windows XP l'attivazione del firewall di Windows XP può permette di scaricare e installare il patch, le definizioni dei virus ed eseguire lo strumento di rimozione. Questo potrebbe funzionare anche con altri firewall ma finora non se ne è ricevuto conferma.

Operazioni svolte dallo strumento

Lo strumento di rimozione di W32.Blaster.WormMagistr svolge le seguenti operazioni:

  1. Termina il processo virale di W32.Blaster.Worm.
  2. Elimina i file di W32.Blaster.Worm.
  3. Elimina i file rilasciati nel sistema.
  4. Elimina i valori di registro aggiunti dal worm.

Opzioni della riga di comando disponibili con lo strumento

Opzione
Descrizione
/HELP, /H, /?Visualizza il messaggio di guida.
/NOFIXREGDisattiva la riparazione del registro. L'utilizzo di questa opzione è sconsigliato.
/SILENT, /SAttiva la modalità invisibile.
/LOG=<nome percorso>Crea un file di registro in cui <nome percorso> è la posizione su cui memorizzare l’output dello strumento. Per impostazione predefinita, il file di registro FixBlast.log viene creato nella stessa cartella da cui è stato eseguito lo strumento.
/MAPPEDEsegue la scansione delle unità di rete mappate. L'utilizzo di questa opzione è sconsigliato. Consultare le note di seguito.
/STARTImpone allo strumento di avviare immediatamente la scansione.
/EXCLUDE=<percorso>Esclude il <percorso> specificato dalla scansione. L'utilizzo di questa opzione è sconsigliato.

NOTA: l’opzione /MAPPED non garantisce la completa rimozione del virus sul computer remoto per le seguenti ragioni:
  • La scansione delle unità mappate esamina solo le cartelle mappate. L'operazione potrebbe non includere tutte le cartelle presenti sul computer remoto, causando mancate rilevazioni.
  • Se viene rilevato un file del virus sull’unità mappata e il computer remoto lo sta utilizzando, la rimozione non riuscirà.

    Per queste ragioni, eseguire lo strumento su ogni computer.

Come ripristinare la connessione Internet e impedire l'arresto del sistema
In molti casi, sia su Windows 2000 che XP, sarà possibile connettersi a Internet per ottenere download ed impedire l'arresto del computer modificando le impostazioni del servizio RPC (Remote Call Procedure).
  1. Fare clic su Start > Esegui. (Viene visualizzata la finestra di dialogo Esegui).
  2. Digitare:

    SERVICES.MSC /S

    nella riga Apri e fare clic su OK. (Si apre la finestra Servizi).

  3. Nel riquadro destro, individuare il servizio Remote Procedure Call (RPC).


    ATTENZIONE: Esiste anche un servizio denominato Remote Procedure Call (RPC) Locator da non confondersi con quello a cui ci si riferisce in questo documento.


  4. Fare clic sul servizio Remote Procedure Call (RPC), quindi fare clic con il tasto destro su Proprietà.
  5. Fare clic sulla scheda Ripristino.
  6. Negli elenchi a discesa, cambiare Primo tentativo, Secondo tentativo e Tentativi successivi in "Riavvia il servizio".
  7. Fare clic su Applica, quindi su OK.


    ATTENZIONE: accertarsi di annullare queste modifiche dopo la rimozione del worm.

Acquisizione ed esecuzione dello strumento


Nota: se lo strumento viene eseguito su Windows 2000 o Windows XP è necessario disporre dei diritti di amministratore.



AVVERTENZA: Se si esegue MS Exchange 2000 Server, può essere necessario escludere l'unità M dalla scansione eseguendo lo strumento da una riga di comando con il parametro Exclude. Per maggiori informazioni, consultare l'articolo del Knowledge Base di Microsoft (in inglese) "XADM: Do Not Back Up or Scan Exchange 2000 Drive M" (Articolo 298924).

  1. Scaricare il file FixBlast.exe dall'indirizzo:

    http://securityresponse.symantec.com/avcenter/FixBlast.exe
  2. Salvare il file su un percorso a scelta quale la cartella di download o il desktop di Windows (o un supporto rimovibile di cui si ha la certezza che non è infetto).
  3. Per controllare l'autenticità della firma digitale, fare riferimento alla sezione "Firma digitale".
  4. Chiudere tutti programmi prima di eseguire lo strumento.
  5. Se si esegue Windows Me, disattivare Ripristino configurazione di sistema. Per ulteriori informazioni consultare la sezione "Opzione Ripristino configurazione di sistema in Windows Me/XP".


    ATTENZIONE: se si esegue Windows XP, si raccomanda di non saltare questo passaggio. La procedura di rimozione potrebbe non riuscire se Ripristino configurazione di sistema di Windows XP non viene disattivato perché Windows ne impedisce la modifica da parte di programmi esterni.


  6. Fare doppio clic sul file FixBlast.exe per avviare lo strumento di rimozione.
  7. Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento.


    Nota: se, quando si esegue lo strumento viene visualizzato un messaggio indicante che non è stato possibile rimuovere uno o più file, ripetere l'esecuzione in modalità provvisoria. Arrestare e spegnere il computer, quindi attendere 30 secondi. Riavviare il computer in modalità provvisoria ed eseguire di nuovo lo strumento. Tutti i sistemi operativi Windows a 32 bit, tranne Windows NT, possono essere riavviati in modalità provvisoria. Per istruzioni, consultare il documento "Come avviare il computer in Modalità provvisoria".

  8. Riavviare il computer.
  9. Eseguire di nuovo lo strumento di rimozione per assicurarsi che il sistema sia privo di infezioni.
  10. Se si esegue Windows XP, riattivare Ripristino configurazione di sistema.
  11. Eseguire LiveUpdate per assicurarsi di disporre delle definizioni dei virus più recenti.

Quando lo strumento ha terminato l'esecuzione, verrà visualizzato un messaggio per indicare se il computer era infettato da W32.Blaster.Worm. Nel caso di una rimozione del worm, il programma visualizza i seguenti risultati:
  • Numero totale di file esaminati
  • Numero di file eliminati
  • Numero di processi virali terminati
  • Numero di voci ci registro corrette

Firma digitale
FixBlast.exe viene fornito con firma digitale. Symantec consiglia di utilizzare solo copie di FixBlast.exe che sono state scaricate direttamente dal sito Web di Symantec Security Response. Per controllare l'autenticità della firma digitale, seguire queste istruzioni:
  1. Accedere all'indirizzo http://www.wmsoftware.com/free.htm.
  2. Scaricare e salvare il file Chktrust.exe nella stessa cartella in cui è stato salvato FixBlast.exe, ad esempio, C:\Download.
  3. A seconda del sistema operativo, svolgere una delle seguenti operazioni:
    • Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS.
    • Fare clic su Start, puntare su Programmi, fare clic su Accessori, quindi fare clic su Prompt dei comandi.

  4. Selezionare la cartella in cui sono memorizzati FixBlast.com e Chktrust.exe, quindi digitare:

    chktrust -i FixBlast.exe

    Ad esempio, se il file è stato salvato nella cartella C:\Download, i comandi da immettere sarebbero i seguenti:

    cd\
    cd download
    chktrust -i FixBlast.exe

    Premere Invio dopo avere digitato ciascun comando. Se la firma digitale è valida, verrà visualizzato il seguente messaggio:

    Installare ed eseguire "W32.Blaster.Worm Removal Tool" , firmato il 12/08/03 4.14 e distribuito da Symantec Corporation?

    Note:
    • La data e l'ora che sono visualizzate in questa finestra di dialogo saranno regolate sul fuso orario locale.
    • Se è attiva l'ora legale, l'ora visualizzata sarà anticipata esattamente di un'ora.
    • Se questa finestra di dialogo non viene visualizzata, le ragioni possibili sono due:
      • Lo strumento non è di Symantec. A meno che non si abbia la certezza che lo strumento è legittimo ed è stato scaricato dal sito Web ufficiale di Symantec, la sua esecuzione è sconsigliata.
      • Tuttavia, lo strumento è di Symantec ed è legittimo se il sistema operativo è stato istruito precedentemente a considerare sempre attendibile i contenuti di Symantec. Per informazioni a tal proposito e per visualizzare di nuovo la finestra di dialogo di conferma, consultare il documento "How to restore the Publisher Authenticity confirmation dialog box".

  5. Fare clic su Sì per chiudere la finestra di dialogo.
  6. Digitare Exit, quindi premere Invio. La sessione MS-DOS verrà chiusa.

Opzione Ripristino configurazione di sistema in Windows Me/XP
Gli utenti di Windows Me e Windows XP devono disattivare temporaneamente l’opzione Ripristino configurazione di sistema. Questa funzionalità, che è attivata in modo predefinito, viene utilizzata da Windows Me/XP per ripristinare i file sul computer nel caso vengano danneggiati. Se un virus, worm o Trojan infetta un computer, Ripristino configurazione di sistema potrebbe eseguirne il backup.

Windows impedisce che programmi esterni, compresi i programmi antivirus, modifichino Ripristino configurazione di sistema. Di conseguenza, i programmi o gli strumenti antivirus non possono rimuovere eventuali minacce presenti nella cartella Restore del sistema. Il risultato è che Ripristino configurazione di sistema può potenzialmente ripristinare un file infetto sul computer, anche se tutti i file infetti sono stati rimossi dalle altre posizioni.

Inoltre, in alcuni casi, i programmi di scansione on-line potrebbero rilevare una minaccia nella cartella Restore del sistema anche se il computer è stato esaminato con un programma antivirus e non sono stati trovati file infetti.

Per istruzioni sulla disattivazione di Ripristino configurazione di sistema, consultare la documentazione di Windows o il seguente articolo: Come disattivare o attivare Ripristino configurazione di sistema in Windows XP .

Come eseguire lo strumento da un disco floppy
  1. Inserire il disco floppy che contiene il file FixBlast.exe nell'unità floppy.
  2. Fare clic su Start, quindi fare clic su Esegui.
  3. Digitare quanto segue:

    a:\FixBlast.exe

    quindi fare clic su OK.

    Nota:
    • Il comando a:\FixBlast.exe non contiene spazi.
  4. Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento.
  5. Se si utilizza Windows Me, riattivare Ripristino configurazione di sistema.