BLASTER VÍRUS RIADÓ A Microsoft a felhasználókkal együtt igyekszik védekezni a Blaster vírus ellen, amely a Windows operációs rendszer 2003. július 16-án felfedezett sebezhető pontját támadja meg. A Blaster vírus a Windows NT-re, a Windows 2000-re, a Windows XP-re és a Windows Server 2003-ra lehet veszélyes. A Microsoft ezúton javasolja felhasználóinak, hogy a www.windowsupdate.com címről töltsék le a speciálisan a Blaster vírus ellen kifejlesztett javítócsomagot. MIRŐL VAN SZÓ? A vírus a következő neveken ismert: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). A bevált gyakorlatok, mint például az MS03-026 biztonsági javítás telepítése megakadályozhatja a féreg fertőzését. ÉRINTETT TERMÉKEK: Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition JAVASLAT: ajánlott az MS03-026 javítás azonnali, de mindenképpen 2003. augusztus 16. előtti telepítése. Azon felhasználók, akik korábban már telepítették az MS03-026 biztonsági javítást, védettek, nem kell mást tenniük. Ahhoz, hogy megállapíthassa, a vírus jelen van-e számítógépén, tanulmányozza át az alábbi technikai részleteket. A TÁMADÁS JELLEGE: A nyitott RPC portokon keresztül terjed. A felhasználók számítógépe újraindul vagy az mblast.exe állományt jutattja a felhasználó számítógépére. TECHNIKAI LEÍRÁS: Ez a féreg IP címek véletlenszerű tartományát vizsgálja és a 135-ös porton keresztül próbál fertőzni. A féreg megpróbálja kihasználni az MS03-026-tal javított DCOM RPC biztonsági rést. Ha a fertőző program bejutott a rendszerbe, letölti egy távoli gépről TFTP-vel és végrehajtja az MSBLAST.EXE állományt. Első futáskor a féreg létrehozza az alábbi kulcsot a registryben: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill A vírus tünetei: Néhány felhasználó esetleg nem is érzékeli a vírus tüneteit. Tipikus tünet, hogy a számítógép néhány percenként újraindul felhasználói beavatkozás nélkül. Továbbá a felhasználók még az alábbiakat is tapasztalhatják: - szokatlan TFTP* fájlok megjelenése a merevlemezen - az msblast.exe nevű állomány megjelenése a WINDOWS SYSTEM32 könyvtárban - lelassult működés A vírus felismeréséhez keresse az msblast.exe nevű állományt a WINDOWS SYSTEM32 könyvtárban vagy töltse le vírusírtó programjának gyártójától a legfrissebb mintát és ellenőrizze vele számítógépét. MEGELŐZÉS: Kapcsolja be az Internet Connection Firewallt (Windows XP vagy Windows Server 2003) vagy alkalmazza más gyártó tűzfalát a 135, 139, 445 és 593 TCP portok; továbbá az UDP 69 (TFTP) portot zombie bits download miatt és a TCP 4444 portot a távoli parancs végrehajtás tiltására. * A Control Panelen kattintson duplán a "Networking and Internet Connections"-re, majd a kattintson a "Network Connections"-re. * Jobb gombbal kattintson arra a kapcsolatra, melyen engedélyezni kívánja az ICF-et, és válassza a "Properties"-t. * Az Advanced fülön kattintson a "Protect my computer or network" melletti választónégyeztre az opció beállításához. A következő cikk segít Internet Connection Firewall bekapcsolásában Windows környezetben: http://support.microsoft.com/?id=283673 Ez a vírus egy már korábban bejelentett biztonsági rést kihasználva fertőz. Ezért kérjük felhasználóinkat, hogy győződjenek meg arról, hogy az erre kifejlesztett Microsoft Security Bulletin MS03-026 javítócsomagot telepítették-e számítógépükre. http://www.microsoft.com/technet/security/bulletin/MS03-026.asp. Az MS03-026 javítócsomag telepíthető a Windows Update oldalról: http://v4.windowsupdate.microsoft.com/hu/default.asp További részletes információ a mellékelt dokumentumban. <> Üdvözlettel: Microsoft Magyarország