IKT

Blaster slår ut virusknekker

Tore StensvoldTore StensvoldJournalist
15. aug. 2003 - 14:42

Blaster-viruset - også kjent som LoveSAN - benytter sikkerhetshull i Microsfts Windows-programvare. Microsoft har laget oppgradering som kan lastes ned. Problemet er at Blaster sørger for å kludre til din maskin slik at det ikke går!

Blaster er også mistenkt for å ha slått ut Microsofts egne servere der man kan laste ned programvare - deriblant sikkerhetsprogramvare.

Ett av stedene som er rammet siste døgn, er Windowsupdate.com. Dette stedet brukes som standard av blant annet Windows XP og 2000 til automatisk oppdatering av styresystemet via den innebygde Windowsupdate-funksjonen.

Blaster inneholder en såkalt payload, som innleder et Distribuert Denial of Service angrep mot websiden windowsupdate.com. Ormen er kodet til å innlede angrep, når datoen på den lokale pc runder 16. august.

- Vi har mottatt rapporteringer fra bedrifter som opplever spoofede datapakker, som forsøker å forlate lokale nettverk fra maskiner som er infisert med Blaster. Vi antar at det er snakk om payloaden fra Blaster, sier sikkerhetseksperten Peter Kruse fra EuroTrust Virus112.

Ifølge selskapet er Blaster kodet slik at ormen først aktiverer payloaden ved første omstart etter at den lokale systemdatoen har rundet 16. august. Den massive strømsvikten i USA kan ha medvirket til å aktivere payloaden tidligere enn ventet.

- Dette kan ikke bekreftes, sier sikkerhetseksperten Peter Kruse fra EuroTrust Virus112.

Det danske selskapet har laget denne oppskriften for å fjerne Blaster:

Mange brukere klager over at ormen ikke kan fjernes, fordi systemet automatisk gjenstarter med en SVCHOST feil.

Dersom dette er problemet, kan maskinen tvinges til oppetid ved å bruke følgende kommando:

Gå til Start - kjør - cmd ENTER - shutdown -a ENTER. Dette vil forhindre systemet i å starte opp igjen. På denne måten får du tid til å hente den nødvendige oppdateringen.

Dessverre er bieffekten at ormen fortsatt forsøker å kopiere seg selv videre til andre systemer, mens du henter oppdateringen.

Det kan dermed være en fordel å hente oppdateringen og gjemme den på en diskett. På denne måten kan du koble berørte maskiner fra internett, mens du kjører oppdateringen og fjerner Blaster med patchene som er frigitt. Se veiledningen nedenfor for anvisning til fix, som kan fjerne Blaster ormen.

1) Oppdater Windows med RPC feilrettelsen

Benytt følgende adresse:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/se curity/bulletin/MS03-026.asp og hent rettelsen til det korrekte system.

Vær oppmerksom på å hente korrekt språkversjon. Hvis feilrettelsen ikke kan hentes fra Microsoft kan man alternativt bruke download.com hos CNet. Engelske oppdateringer ligger på følgende adresse:

http://download.com.com/3150-2092-0.html?qt=msblastcoll& tag=tid.

Denne skal kjøres på systemet. En omstart kan være nødvendig.

2) Fjern Blaster fra maskinen ved å hente EuroTrust Virus112 Blaster Fix på følgende adresse:

http://www.virus112.com/index.php?page=w32blasterworm

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.