W32.Blaster.Worm

Versão para impressão

Descoberta: August 11, 2003
Atualizado: February 13, 2007 12:08:58 PM
Também conhecido como: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
Tipo: Worm
Extensão da infecção: 6,176 bytes
Sistemas afetados: Windows
Referências CVE: CAN-2003-0352


O W32.Blaster.Worm é um worm que explora a vulnerabilidade RPC do DCOM do Microsoft Windows (descrita no Microsoft Security Bulletin MS03-026 - em inglês), usando a porta TCP de número 135. O worm afeta somente computadores baseados no Windows 2000 e Windows XP. Embora computadores baseados no Windows NT e no Windows 2003 Server possuam a vulnerabilidade mencionada acima (caso não tenham sido adequadamente corrigidos), o worm não foi codificado para replicar-se nesses sistemas. Este worm tenta fazer o download e salvar o arquivo Msblast.exe. no diretório %WinDir%\system32 e então executá-lo. O worm não possui a funcionalidade de propagação através de e-mail.

Informações adicionais e um local alternativo para fazer o download da correção da Microsoft está disponível no seguinte artigo dessa empresa: "What You Should Know About the Blaster Worm and Its Variants " (este recurso encontra-se em inglês).

Recomendamos o bloqueio do acesso a porta TCP número 4444 no nível do firewall e bloquear as seguintes portas, caso as aplicações abaixo não sejam usadas:

  • Porta TCP 135, "DCOM RPC"
  • Porta UDP 69, "TFTP"

O worm também tenta executar um Denial of Service (DoS - Negação de Serviço) no servidor do Windows Update (www.windowsupdate.com). Esta tentativa evita que você instale em seu computador a correção da vulnerabilidade explorada por ele.

Clique aqui para obter mais informações sobre a vulnerabilidade explorada pelo worm e para informar-se sobre quais produtos da Symantec podem ajudá-lo a reduzir os riscos desta vulnerabilidade.

NOTA: Esta ameaça será detectada pelas definições de vírus que possuem:
  • Versão de definição (Defs Version): 50811s
  • Número Sequencial (Sequence Number): 24254
  • Versão extendida (Extended Version): 11/8/2003, rev. 19 (8/11/2003, rev. 19)

O Symantec Security Response desenvolveu uma ferramenta para limpar infecções do W32.Blaster.Worm.

Webcast do W32.Blaster.Worm
O webcast abaixo foi criado para trataru do assunto. Nele é possível encontrar estratégias de reduzir os danos e os riscos da infecção por este worm, e também fornece uma descrição detalhada do ataque DoS:
    http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63 (este recurso encontra-se em inglês).




    Informações adicionais e um local alternativo para fazer o download da correção da Microsoft está disponível no artigo "What You Should Know About the Blaster Worm and Its Variants ".

    Datas da proteção antivírus

    • Versão inicial do Rapid Release August 11, 2003
    • Última versão do Rapid Release June 21, 2018 revisão 008
    • Versão inicial diária certificada August 11, 2003
    • Última versão diária certificada June 21, 2018 revisão 001
    • Data da versão inicial semanal certificada August 11, 2003

    Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

    Escrito por: Douglas Knowles, Frederic Perr

    Descoberta: August 11, 2003
    Atualizado: February 13, 2007 12:08:58 PM
    Também conhecido como: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
    Tipo: Worm
    Extensão da infecção: 6,176 bytes
    Sistemas afetados: Windows
    Referências CVE: CAN-2003-0352


    Quando o W32.Blaster.Worm é executado, ele faz o seguinte:

    1. Verifica se o computador já está infectado e se o worm está sendo executado. Em caso positivo, o worm não inrá infectar o computador novamente.

    2. Adiciona o valor:

      "windows auto update"="msblast.exe"

      à chave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      para que o worm seja executado na inicialização do Windows.

    3. Gera um endereço IP e tenta infectar o computador que possui aquele endereço. Esse endereço IP é gerado de acordo com os seguintes algoritmos:

      • Para 40% do tempo e endereço IP gerado é da forma A.B.C.0, onde A e B são iguais às primeiras duas partes no endereço IP do computador infectado.

        C também é calculado pela terá parte do endereço IP do computador infectado. Entretanto, para 40% do tempo o worm verifica se C é maior do que 20. Se for, um valor aleatório menor do que 20 é subtraído de C. Uma vez que o endereço IP é calculado, o worm irá tentar acessar um computador cujo endereço IP seja A.B.C.0.

        O worm então irá incrementar a última parte do endereço IP (0), tentando acessar outros computadores baseados no novo endereço IP, até que este atinja 254.
      • Com probabilidade de 60%, o endereço IP gerado é completamente aleatório.

    4. Envia dados para a porta TCP 135 que podem explorar a vulnerabilidade do RPC do DCOM. O worm envia um de dois tipos de dados: um para explorar a vulnerabilidade no Windows XP e outra para o Windows 2000. Em 80% do tempo os dados para o Windows XP serão enviados e para 20% dados para o Windows 2000.

      NOTAS:
      • Isto significa que a sub-rede local estará saturada de requisições para a porta 135.
      • Devido a natureza aleatória da forma através da qual o worm acessa os dados, isso poderá fazer com que os computadores afetados travem se dados incorretos forem enviados.
      • Embora o W32.Blaster.Worm não possa propagar-se no Windows NT ou no Windows 2003 Server, computadores que não possuam a correção e que executam esses sistemas operacionais podem travar quando o worm tentar acessá-los. Entratanto, se o worm for depositado e executado manualmente no computador ele não poderá propagar-se.
      • Se o serviço RPC falhar, o procedimeto padrão quando no Windows XP e no Windows Server 2003 é reiniciar o computador. Para desativar este recurso, consulte o primeiro passo das Instruções de Remoção.
    5. Usa o Cmd.exe para criar uma interface remota e oculta que irá monitorar a porta TCP 4444, permitindo ao invasor executar comandos no computador infectado de maneira remota.

    6. Monitora a porta UDP 69. Quando o worm recebe uma solicitação de um computador conectado através da vulnerabilidade do RPC do DCOM ele enviará o arquivo msblast.exe e executará o worm.

    7. Se a data atual for dia 16 ou superior dos meses de janeiro a agosto, ou se o mês atual for de setembro a dezembro, o worm tentará executar um ataque DoS (Negação de Serviço) no servidor do Windows Update. Entretanto, essa tentativa só terá sucesso se uma das condições abaixo ocorrer:
      • O worm está ativo em um computador que executa o Windows XP e este foi infectado ou reiniciado durante o período onde o worm causa maior dano.
      • O worm está ativo em um computador que executa o Windows 2000 e que foi infectado durante o período onde o worm causa maior dano e não foi reiniciado desde o momento da infecção.
      • O worm está ativo em um computador que executa o Windows 2000 e que foi reiniciado desde que foi infectado, duranto o período onde o worm causa maior dano, e o usuário logado no momento é Ádministrador.

    8. O tráfego do DoS possui as seguintes características:
      • Gera um alto tráfego de pacotes para porta 80 do windowsupdate.com.
      • Tenta enviar 50 pacotes RPC e 50 pacotes HTTP a cada segundo.
      • Cada pacote possui o tamanho de 40 bytes.
      • Se o worm não encontrar a entrada de DNS para o windowsupdate.com, ele usará 255.255.255.255 como endereço de destino.
      Algumas características corrigidas do TCP e dos cabeçalhos IP são:
        • Identificação do IP = 256
        • Tempo de vida = 128
        • Endereço IP original: = a.b.x.y, onde a.b são do ip do host e x.y aleatórios. Em alguns casos a.b também são aleatórios.
        • Endereço IP de destino: = resolução dns de "windowsupdate.com"
        • A porta TCP de origem está entre 1000 e 1999
        • A porta TCP de destino = 80
        • Número de sequência do TCP sempre possui dois bytes de menor valor definidos como 0; os dois maiores valores são aleatórios.
        • Tamanho da janela TCP = 16384


    O worm contém o seguinte texto, que nunca é exibido:

    I just want to say LOVE YOU SAN!!
    billy gates why do you make this possible ? Stop making money and fix your software!!

    (Tradução: Eu só queria dizer EU TE AMO, SAN! !
    billy gates porque você deixa isso acontecer? Pare de ganhar dinheiro e corrija seu software!!)


    Reduzindo os danos do ataque DoS
    Em 15 de agosto de 2003 a Microsoft excluiu o registro de DNS para o windowsupdate.com. Enquanto a porção dpo worm responsável pelo DoS não afetará o recurso Windows Update, os administradores de rede podem seguir as seguintes recomendações para reduzir os danos do ataque DoS:
    • Altere o roteamento do windowsupdate.com para um endereço IP especial. Isto irá alertar quanto a computadores infectados, caso exista um "servidor de monitoramento" interceptando o tráfego de pacotes.
    • Configuração de regras anti-mascaramento (anti-spoofing) precisam ser implementadas nos roteadores caso ainda não existam. Isto irá evitar que uma alta porcentagem de pacotes deixe a rede. Usar uRPF or ou ACLs egressos será efetivo.


    Symantec Gateway Security
    • Em 12 de agosto de 2003 a Symantec lançou uma atualização para o Symantec Gateway Security 1.0.
    • A tecnologia de firewall para inspeção total de aplicações desenvolvida pela Symantec protege contra esta vulnerabilidade da Microsoft, bloqueando por padrão todas as portas TCP listadas acima. Para máxima segurança, a terceira geração da tecnologia de inspeção total de aplicações bloqueia de maneira inteligente os túneis do tráfico do DCOM através de canais HTTP além de oferecer uma camada extra de proteção não disponibilizada em muitos firewalls para filtro de rede.

    Symantec Host IDS
    Em 12 de agosto de 2003 a Symantec lançou uma atualização para o Symantec Host IDS 4.1.

    Intruder Alert
    Em 12 de agosto de 2003 a Symantec lançou uma Intruder Alert 3.6 W32_Blaster_Worm Policy (este recurso encontra-se em inglês).

    Symantec Enterprise Firewall
    A tecnologia de firewall para inspeção total de aplicações desenvolvida pela Symantec protege contra o W32.Blaster.worm, bloqueando todas as portas TCP listadas acima por padrão.

    Symantec ManHunt
    • A tecnologia Protocol Anomaly Detection do Symantec ManHunt detecta a atividade associada a este worm como "Portsweep." Embora o ManHunt possa detectar a atividade associada a este worm usando essa tecnologia, você pode usar a assinatura personalizada da vulnerabilidade ("Microsoft DCOM RPC Buffer Overflow"), distribuída no Security Update 4, para identificar de forma precisa este worm.
    • Um Security Update 5 foi disponibilizado para fornecer assinaturas específicas para o W32.Blaster.Worm, as quais incluem a detecção para mais atributos do W32.Blaster.Worm.
    • A tecnologia Protocol Anomaly Detection do Symantec ManHunt detecta a atividade associada a este worm com o tráfego de dados causado pelo DoS. O Security Response criou uma assinatura personalizada para o ManHunt 3.0, disponibilizada Security Update 6, para detectar este ataque como sendo específico do Blaster.

    Enterprise Security Manager
    O Symantec Security Response disponibilizou uma Response Policy (este recurso encontra-se em inglês) para esta vulnerabilidade em 17 de julho de 2003.

    Symantec Vulnerability Assessment
    Em 17 de julho de 2003, o Symantec Security Response publicou uma versão que detecta e reporta a vulnerabilidade.

    Symantec NetRecon
    O Symantec NetRecon pode identificar computadores que estão suscetíveis ao W32.Blaster.Worm, através da identificação da vulnerabilidade do RPC do DCOM. Consulte o SU6 para o Symantec NetRecon para maiores detalhes.

    Recomendações

    Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

    • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
    • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
    • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
    • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
    • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
    • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
    • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
    • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
    • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
    • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
    • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
    • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
    • For further information on the terms used in this document, please refer to the Security Response glossary.

    Escrito por: Douglas Knowles, Frederic Perr

    Descoberta: August 11, 2003
    Atualizado: February 13, 2007 12:08:58 PM
    Também conhecido como: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
    Tipo: Worm
    Extensão da infecção: 6,176 bytes
    Sistemas afetados: Windows
    Referências CVE: CAN-2003-0352


    Remoção usando a Ferramenta de Remoção do W32.Blaster.Worm
    O Symantec Security Response criou uma ferramenta para remover o W32.Blaster.Worm. Esta é a maneira mais fácil de se remover esta ameaça.

    Remoção manual
    Como alternativa ao uso da ferramenta, você pode remover esta ameaça manualmente.

    Estas instruções se aplicam a todos os produtos antivírus atuais e aos mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus e Norton AntiVirus.

    1. Restaure a conectividade da Internet.
    2. Finalize o processo do worm.
    3. Atualize as definições de vírus.
    4. Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como W32.Blaster.Worm.
    5. Reverta as alterações feitas pelo worm ao registro.
    6. Obtenha a correção da Microsoft para a vulnerabilidade do RPC do DCOM.
    Para maiores detalhes sobre como fazer isto, leia as seguintes instruções.

    1. Para restaurar a conectividade da Internet
    Em muitos casos, tanto no Windows 2000 quando no XP, alterar as configurações para o serviço Remote Call Procedure (RPC) pode permitir que você conecte-se a Internet sem que o computador seja desligado. Para restaurar a conectividade da Internet, siga os passos abaixo:
      1. Clique em Iniciar > Executar. A caixa de diálogo Executar será aberta.
      2. Digite:

        SERVICES.MSC /S

        na linha de comando e clique em OK. A janela Serviços será aberta.
      3. No painel direito, localize o serviço Remote Procedure Call (RPC).


        CUIDADO: Na lista também existe um serviço chamado Remote Procedure Call (RPC) Locator. Não confunda os dois serviços.

      4. Clique com o botão direito no serviço Remote Procedure Call (RPC) e clique em Propriedades.
      5. Clique na guia Recuperação.
      6. Usando a lista suspensa, altere os itens Primeira falha, Segunda falha e as falhas subsequentes para "Reiniciar o serviço".
      7. Clique em Aplicar e em OK.


        CUIDADO: Certifique-se de alterar estas configurações após ter removido o worm.

    2. Para localizar e interromper o processo do worm:
    1. Pressione as teclas Ctrl+Alt+Delete uma vez.
    2. Clique em Gerenciador de Tarefas.
    3. Clique na guia Processos.
    4. Clique duas vezes sobre a coluna Nome da Imagem para ordenar os processos por ordem alfabética.
    5. Role a lista e procure pelo serviço msblast.exe.
    6. Se você encontrar o arquivo, clique uma vez sobre ele para selecioná-lo e clique no botão Finalizar Processo.
    7. Saia do Gerenciador de Tarefas.

    3. Para atualizar as definições de vírus

    O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:
      Para usuários sem experiência

      Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa explosão de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste alerta.

      Para administradores de redes

      Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.


      Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui.

    4. Para executar uma verificação completa no sistema
    1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
    2. Execute uma verificação completa do sistema.
    3. Se houver arquivos detectados como infectados com W32.Blaster.Worm clique em Excluir.

    5. Para remover o valor do registro

    CUIDADO : É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
    1. Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
    2. Digite regedit

      Clique em OK (O Editor do Registro será exibido).

    3. Navegue até a chave:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    4. No painel direito, exclua o valor:

      "windows auto update"="msblast.exe"

    e. Saia do Editor do Registro.


    6. Para obter a correção da Microsoft para a vulnerabilidade do RPC do DCOM
    O W32.Blaster.Worm é um worm que explora a vulnerabilidade do RPC do DCOM usando a porta TCP 135. O W32.Blaster.Worm também tenta executar um DoS no servidor do Windows Update (windowsupdate.com). Para corrigir esta vulnerabilidade, é importante obter a correção da Microsoft em Microsoft Security Bulletin MS03-026.

    Escrito por: Douglas Knowles, Frederic Perr