После соединения с интернетом, через некоторое время вылазит сообщение "Система завершает работу, сохраните все данные и т.д."
Идет отсчет времени, по истечении которого комп перезагружается...
Отключение системы вызвано NT AUTHORITY\SYSTEM
Как с этим бороться?
Тип: Интернет-Червь (Worm)
Длина: 6'176 байт (упакован UPX)
ОС подверженные заражению: Microsoft Windows NT® 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003
Патч для ОС: Исправление уязвимости Windows
Возможные названия: W32/Lovsan.worm(McAfee), W32.Blaster.Worm (Symantec), Win32.Poza (CA), WORM_MSBLAST.A (Trend), msblast.exe, tftp
Обнаружен: 11 августа 2003
Добавлен в базу: 11 августа 2003
Модификации: 13 августа 2003 Worm.Win32.Blaster.b
Описание
Интернет-червь. Червь использует уязвимость в службе Microsoft Windows DCOM RPC. Данная уязвимость позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).
При запуске, червь просматривает случайный диапазон IP адресов, для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам, червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку основного тела червя.
После успешной загрузки основного тела червя, оно копируется в каталог %WinDir%\system32 и запускается на выполнение.
Создает в системном реестре ключ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = "msblast.exe"
Червь содержит текст:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Инсталляция
При запуске, создается файл msblast.exe в каталоге %WinDir%\system32 и вышеуказанная запись в системном реестре.
Признаки заражения
Наличие файла msblast.exe в каталоге %WinDir%\system32.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
Наличие записи в системном реестре
Рекомендации по защите и удалению
Загрузить последнее обновление для Антивирус для детектирования и удаления червя.
Установить обновление для Windows (патч).
Провести сканирование и удалить все обнаруженные файлы