Total Security - www.totalsecurity.com.br
Evitando e removendo o MSBlast
O MSBLAST (W32.Blaster.Worm - W32/Lovsan.worm - Win32.Poza - WORM_MSBLAST.A - W32/Blaster-A - W32/Blaster ) é um vírus que tem uma alta taxa de propagação, não causa danos aos arquivos existentes no disco rígido, porém causa incômodos como travamentos e reinicializações do sistema.Explora uma vulnerabilidade RPC do DCOM (Microsoft Security Bulletin MS03-026), usa a porta 135 (RPC) e tenta fazer o download do msblast.exe.
Sistemas afetados
*Microsoft Windows NT 4.0
*Microsoft Windows 2000
*Microsoft Windows XP
*Microsoft Windows Server 2003
Sintomas
O primeiro sintoma do vírus, é um erro gerado no serviço svchost.exe, aparecendo a famosa tela informando que o sistema será reiniciado em 1 minuto. Isso ocorre pois o vírus finaliza o serviço RPC, e as configurações padrão do mesmo, estão setadas para que em caso de erro do serviço (RPC), o sistema seja reiniciado. Podemos alterar a configuração, para que ao invés do sistema ser reiniciado, seja reiniciado o próprio serviço (RPC). Para tanto, selecione a opção iniciar / executar, e digite "services.msc" (sem as aspas), procure pelo serviço chamado "Chama de Procedimento Remoto (RPC)" dê um duplo clique sobre o mesmo, e na guia "Recuperação", altere a configuração dos campos "Primeira falha, Segunda falha, e Falhas posteriores" para "Reiniciar o serviço".
Outros possíveis sintomas são: travamentos inesperados, impossibilidade de copiar, recortar, colar e arrastar arquivos, etc.
Remoção
A remoção do MSBLAST pode ser feita da seguinte forma:
Na pasta WINDOWSSystem32 ou WINNTSystem32, procure pelo arquivo chamado msblast.exe (±7kb) e delete o mesmo. Em seguida, você deve deletar a chave de inicialização no registro. Iniciar / Executar / regedit, vá até a chave:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun, e, na direita, exclua o valor "windows auto update"="msblast.exe"
Prevenção
Você pode desabilitar o DCOM, caso não necessite do mesmo. Para tanto, Iniciar / Executar / regedit, procure a chave HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle e na direita, duplo clique sobre "EnableDCOM", e altere o valor para N.
Reinicie o sistema.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle
Valor: EnableDCOM
Tipo: REG_SZ (Valor da seqüência)
Configurações:
Y - Habilita o DCOM
N - Desabilita o DCOM
Sistemas afetados
*Microsoft Windows NT 4.0
*Microsoft Windows 2000
*Microsoft Windows XP
*Microsoft Windows Server 2003
Sintomas
O primeiro sintoma do vírus, é um erro gerado no serviço svchost.exe, aparecendo a famosa tela informando que o sistema será reiniciado em 1 minuto. Isso ocorre pois o vírus finaliza o serviço RPC, e as configurações padrão do mesmo, estão setadas para que em caso de erro do serviço (RPC), o sistema seja reiniciado. Podemos alterar a configuração, para que ao invés do sistema ser reiniciado, seja reiniciado o próprio serviço (RPC). Para tanto, selecione a opção iniciar / executar, e digite "services.msc" (sem as aspas), procure pelo serviço chamado "Chama de Procedimento Remoto (RPC)" dê um duplo clique sobre o mesmo, e na guia "Recuperação", altere a configuração dos campos "Primeira falha, Segunda falha, e Falhas posteriores" para "Reiniciar o serviço".
Outros possíveis sintomas são: travamentos inesperados, impossibilidade de copiar, recortar, colar e arrastar arquivos, etc.
Remoção
A remoção do MSBLAST pode ser feita da seguinte forma:
Na pasta WINDOWSSystem32 ou WINNTSystem32, procure pelo arquivo chamado msblast.exe (±7kb) e delete o mesmo. Em seguida, você deve deletar a chave de inicialização no registro. Iniciar / Executar / regedit, vá até a chave:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun, e, na direita, exclua o valor "windows auto update"="msblast.exe"
Prevenção
Você pode desabilitar o DCOM, caso não necessite do mesmo. Para tanto, Iniciar / Executar / regedit, procure a chave HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle e na direita, duplo clique sobre "EnableDCOM", e altere o valor para N.
Reinicie o sistema.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle
Valor: EnableDCOM
Tipo: REG_SZ (Valor da seqüência)
Configurações:
Y - Habilita o DCOM
N - Desabilita o DCOM
URL Fonte: http://www.totalsecurity.com.br/noticia/343/visualizar/
Comentários