1. Symantec/
  2. Security Response/
  3. W32.Blaster.Worm
  4. W32.Blaster.Worm
  • Compartilhar

W32.Blaster.Worm

Nível do risco2: Baixo

Descoberto:
11 de Agosto de 2003
Atualizado:
13 de Fevereiro de 2007 12:08:58 PM
Também conhecido como:
W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
Tipo:
Worm
Extensão da infecção:
6,176 bytes
Sistemas afetados:
Windows
Referências CVE:
CAN-2003-0352

O W32.Blaster.Worm é um worm que explora a vulnerabilidade RPC do DCOM do Microsoft Windows (descrita no Microsoft Security Bulletin MS03-026 - em inglês), usando a porta TCP de número 135. O worm afeta somente computadores baseados no Windows 2000 e Windows XP. Embora computadores baseados no Windows NT e no Windows 2003 Server possuam a vulnerabilidade mencionada acima (caso não tenham sido adequadamente corrigidos), o worm não foi codificado para replicar-se nesses sistemas. Este worm tenta fazer o download e salvar o arquivo Msblast.exe. no diretório %WinDir%\system32 e então executá-lo. O worm não possui a funcionalidade de propagação através de e-mail.

Informações adicionais e um local alternativo para fazer o download da correção da Microsoft está disponível no seguinte artigo dessa empresa: "What You Should Know About the Blaster Worm and Its Variants" (este recurso encontra-se em inglês).

Recomendamos o bloqueio do acesso a porta TCP número 4444 no nível do firewall e bloquear as seguintes portas, caso as aplicações abaixo não sejam usadas:
  • Porta TCP 135, "DCOM RPC"
  • Porta UDP 69, "TFTP"

O worm também tenta executar um Denial of Service (DoS - Negação de Serviço) no servidor do Windows Update (www.windowsupdate.com). Esta tentativa evita que você instale em seu computador a correção da vulnerabilidade explorada por ele.

Clique aqui para obter mais informações sobre a vulnerabilidade explorada pelo worm e para informar-se sobre quais produtos da Symantec podem ajudá-lo a reduzir os riscos desta vulnerabilidade.

NOTA: Esta ameaça será detectada pelas definições de vírus que possuem:
  • Versão de definição (Defs Version): 50811s
  • Número Sequencial (Sequence Number): 24254
  • Versão extendida (Extended Version): 11/8/2003, rev. 19 (8/11/2003, rev. 19)

O Symantec Security Response desenvolveu uma ferramenta para limpar infecções do W32.Blaster.Worm.

Webcast do W32.Blaster.Worm
O webcast abaixo foi criado para trataru do assunto. Nele é possível encontrar estratégias de reduzir os danos e os riscos da infecção por este worm, e também fornece uma descrição detalhada do ataque DoS:
    http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63 (este recurso encontra-se em inglês).




    Informações adicionais e um local alternativo para fazer o download da correção da Microsoft está disponível no artigo "What You Should Know About the Blaster Worm and Its Variants".

    Datas da proteção antivírus

    • Versão inicial do Rapid Release11 de Agosto de 2003
    • Última versão do Rapid Release29 de Junho de 2017 revisão009
    • Versão inicial diária certificada11 de Agosto de 2003
    • Última versão diária certificada29 de Junho de 2017 revisão016
    • Data da versão inicial semanal certificada11 de Agosto de 2003
    Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.
    Escrito por:Douglas Knowles, Frederic Perr
    Internet Security Threat Report