Ведь достаточно было бы в любой поисковой службе ввести часть текста того сообщения, с которым Windows XP уходит в перезагрузку, как тут же вы получили бы подробнейшую информацию по борьбе с этим червем из самых первых рук - от антивирусных компаний!
Наконец, можно было просто заглянуть в какие-нибудь веб-конференции и почитать, что пишут люди.
Тем не менее, с целью разобраться с этой проблемой раз и навсегда, попробую вкратце пересказать все то, что уже давно известно. Итак, примерно с 12 августа Сеть серьезно потряс новый червь w32.Blaster.worm, использующий давно известную и давно (фактически более месяца назад, в июле) закрытую заплатками уязвимость DCOM RPC в Windows NT/2000/XP/2003.
Для "успешного" заражения этим вирусом достаточно иметь открытыми порты 135, 139, 445. Голова червя - специальный пакет данных - проникает в атакованную систему беспечного пользователя через незащищенный файерволлом порт 135 и после этого без какого-либо участия пользователя закачивает все тело - файл-носитель MSBLAST.EXE (или TEEKIDS.EXE, или PENIS32.EXE) - с помощью системной программы TFTP.EXE - мини FTP-сервера. Файл MSBLAST.EXE регистрируется в разделе Run системного реестра Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run "windows auto update"="ms-blast.exe"
После перезагрузки компьютера вирус срабатывает и сканирует сеть в поисках других жертв и продолжает свое распространение по интернету, генерируя огромный объем левого траффика, а на компьютере пострадавшего отныне могут выполняться любые действия - перезагрузка, выполнение программ и т. п. К счастью, в своей исходной модификации вирус не удаляет, не изменяет и не похищает данные пользователя. Симптомы присутствия вируса в системе таковы:
· в папке Windows\System32\ присутствует файл MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE;
· в списке запущенных процессов имеется один из вышеуказанных файлов;
· в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run присутствует команда на запуск вышеуказанного файла;
· после нескольких минут работы в интернете происходит перезагрузка компьютера;
· в работе программ MS Office наблюдаются многократные сбои;
· появляются сообщения об ошибках, связанных с файлом SVCHOST.EXE;
· на экране появляется окно с сообщением об ошибке RPC Service.
Для удаления червя, в том числе вручную, и защиты от подобных вирусов впредь необходимо сделать следующее:
· во-первых, следует отключиться от интернета;
· используя менеджер процессов (вызывается клавишами Ctrl+Alt+Del), выгрузите из памяти процесс MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE;
· удалите с диска соответствующий файл;
· удалите в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run команду на запуск файла вируса;
· перегрузите ПК;
· тщательно удалите все следы текущей модификации вируса из системы с помощью антивирусной программы или специальных бесплатных утилит, предназначенных исключительно для борьбы с Lovesan: ftp://ftp.kaspersky.com/utils/clrav.zip; http://securityresponse.symantec.com/avcenter/FixBlast.exe;
· установите патч: Для русских версий ОС, Для английских версий ОС
· установите файрволл и заблокируйте TCP- / UDP-порты 135, 139, 445, 69 и 4444.