התראה מאת צוות התגובה לאבטחה של שירותי התמיכה במוצרים: תולעת חדשה: W32.Blaster.worm
דרגת חומרה: קריטית
מוצרים הנתונים לפגיעה
Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition
בדף זה
 | מהי תולעת זו? |
| השפעת המתקפה |
| פרטים טכניים |
| שחזור |
| לקבלת מידע מספקי תוכנות אנטי-וירוס |
| מניעה |
| משאבים נוספים |
מהי תולעת זו?
צוות האבטחה של שירותי התמיכה במוצרים של מיקרוסופט מפרסם התראה זו כדי להודיע ללקוחות על תולעת חדשה בשם W32.Blaster.Worm המתפשטת בעולם. תולעת זו מכונה גם: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). שיטות עבודה מומלצות, כגון החלת תיקון האבטחה MS03-026, אמורות למנוע פגיעה של תולעת זו.
תאריך הגילוי: 11 באוגוסט, 2003. לקוחות שהחילו בעבר את תיקון האבטחה MS03-026 מוגנים. כדי לקבוע אם התולעת נמצאת במחשב שלך, עיין בפרטים הטכניים שלהלן.
השפעת המתקפה
התולעת מופצת באמצעות יציאות RPC פתוחות. מחשב הלקוח מאותחל מחדש, או שהקובץ "msblast.exe" קיים במערכת של מחשב הלקוח.
פרטים טכניים
תולעת זו סורקת טווח IP אקראי כדי לאתר מערכות בעלות נקודות תורפה ביציאת TCP מספר 135. התולעת מנסה לנצל את נקודת התורפה של DCOM RPC המתוקנת באמצעות MS03-026.
לאחר שקוד Exploit נשלח למערכת, הוא מוריד ומפעיל את הקובץ MSBLAST.EXE ממערכת מרוחקת דרך TFTP. לאחר ההפעלה, התולעת יוצרת את מפתח הרישום הבא:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
תסמינים של התולעת: ייתכן שלקוחות מסוימים לא יבחינו כלל בשום תסמין. תסמין אופייני הוא אתחול מחדש של המערכת כל מספר דקות ללא קלט משתמש. לקוחות עשויים גם להבחין בתסמינים הבאים:
| • | הימצאות קבצי TFTP* יוצאי דופן |
| • | הימצאות הקובץ msblast.exe בספריה WINDOWS\SYSTEM32 (במערכת Windows 2000 הקובץ יימצא בספריה: WINNT\SYSTEM32) |
כדי לאתר תולעת זו, חפש את הקובץ msblast.exe בספריה WINDOWS\SYSTEM32 (או WINNT\SYSTEM32 במערכת Windows 2000); לחלופין, הורד את העדכון האחרון של תוכנת האנטי-וירוס מאת ספק האנטי-וירוס ובצע סריקה במחשב.
לקבלת מידע נוסף אודות שחזור המערכת לאחר מתקפה זו, נא פנה לספק האנטי-וירוס המועדף עליך
שחזור
חברות אנטי-וירוס רבות כתבו כלים להסרת קובץ Exploit הידוע כמשויך לתולעת ספציפית זו. כדי להוריד את כלי ההסרה מאת ספק האנטי-וירוס, בצע את ההליכים המתוארים להלן.
עבור Windows XP
ראשית, הפעל את רכיב ה- Firewall המוכלל, כגון שרת Firewall של חיבור לאינטרנט (ICF) ב- Windows XP:
שימוש בשרת Firewall של חיבור לאינטרנט
| • | בלוח הבקרה, לחץ פעמיים על "חיבורי רשת ואינטרנט" ולאחר מכן לחץ על "חיבורי רשת". |
| • | לחץ באמצעות לחצן העכבר הימני על החיבור בו ברצונך להפעיל ICF ולאחר מכן לחץ על "מאפיינים". |
| • | בכרטיסיה "מתקדם", בחר בתיבת הסימון "הגן על המחשב ועל הרשת שלי". |
שנית, הורד את תיקון האבטחה MS03-026 מאת מיקרוסופט:
| • | |
| • | |
| • |
שלישית, התקן או עדכן את החתימה של תוכנת האנטי-וירוס שברשותך.
לאחר מכן, הורד את הכלי להסרת התולעת מאת ספק האנטי-וירוס.
עבור מערכות Windows 2000
שרת ה- Firewall המוכלל של החיבור לאינטרנט (ICF) אינו זמין במערכת זו. השלבים הבאים יעזרו לחסום את היציאות שנפגעו כדי שניתן יהיה לתקן את המערכת. שלבים אלה מבוססים על מובאה שהותאמה מהמאמר: HOW TO: Configure TCP/IP Filtering in Windows 2000
הגדר אבטחת TCP/IP ב- Windows 2000:
| • | בחר ב"התקשרויות רשת וחיוג" בלוח הבקרה. |
| • | לחץ באמצעות לחצן העכבר הימני על הממשק בו אתה משתמש כדי לגשת לאינטרנט ולאחר מכן לחץ על "מאפיינים" |
| • | בתיבה "רכיבים שסומנו נמצאים בשימוש על-ידי התקשרות זו", לחץ על "Internet Protocol (TCP/IP)" ולאחר מכן לחץ על "מאפיינים". |
| • | בתיבת הדו-שיח "מאפייני Internet Protocol (TCP/IP)", לחץ על "מתקדם". |
| • | לחץ על הכרטיסיה "אפשרויות". |
| • | לחץ על "סינון TCP/IP" ולאחר מכן לחץ על "מאפיינים". |
| • | בחר בתיבת הסימון "אפשר סינון TCP/IP (כל המתאמים)". |
| • | ישנן שלוש עמודות, בעלות התוויות הבאות:
|
| • | בכל עמודה, עליך לבחור באפשרות "אפשר רק". |
| • | לחץ על "אישור". |
הורד את תיקון האבטחה MS03-026 עבור Windows 2000:
| • | |
| • |
התקן או עדכן את החתימה של תוכנת האנטי-וירוס שברשותך
לאחר מכן, הורד את הכלי להסרת התולעת מאת ספק האנטי-וירוס.
לקבלת מידע מספקי תוכנות אנטי-וירוס
לקבלת פרטים נוספים אודות תולעת זו מספקי תוכנות אנטי-וירוס הנוטלים חלק ב- Microsoft Virus Information Alliance (VIA), נא בקר בקישורים הבאים:
| • | |
| • | |
| • | |
| • |
למידע נוסף אודות Microsoft Virus Information Alliance נא עיין במאמר זה.
נא פנה אל ספק האנטי-וירוס לקבלת פרטים נוספים אודות תולעת זו.
מניעה
הפעל את שרת ה- Firewall של החיבור לאינטרנט (ב- Windows XP או Windows Server 2003), או השתמש בחומת אש של ספק חיצוני כדי לחסום את יציאות TCP מספר 135, 139, 445 ו- 593; יציאת UDP מספר 135, 137,138; וכן UDP 69 (TFTP) ו- TCP 4444 עבור מעטפת פקודה מרוחקת. כדי להפעיל את שרת חומת האש של החיבור לאינטרנט ב- Windows:
http://support.microsoft.com/?id=283673
| • | בלוח הבקרה, לחץ פעמיים על "חיבורי רשת ואינטרנט" ולאחר מכן לחץ על "חיבורי רשת". |
| • | לחץ באמצעות לחצן העכבר הימני על החיבור בו ברצונך להפעיל ICF ולאחר מכן לחץ על "מאפיינים". |
| • | בכרטיסיה "מתקדם", בחר בתיבת הסימון "הגן על המחשב ועל הרשת שלי". |
תולעת זו משתמשת בנקודת תורפה שפורסמה בעבר כחלק משיטת ההדבקה שלה. משום כך, לקוחות צריכים לוודא שבמחשבים שלהם מוחל תיקון עבור נקודת התורפה המזוהה בהודעת Microsoft Security Bulletin MS03-026.
התקן את התיקון שמספרו MS03-026 מ- Microsoft Update:
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • |
כמו תמיד, נא הקפד להשתמש בתוכנה החדשה ביותר לזיהוי וירוסים מאת ספק האנטי-וירוס כדי לזהות וירוסים חדשים וגירסאות שלהם.
משאבים נוספים
| • | |
| • | |
| • |