Centro di Calcolo Elettronico "Attilio Villari" - Sezione GARR


- Informazioni sul virus W32.Blaster.worm e istruzioni per sua la rimozione -

Nome

W32.Blaster.worm

Altri nomi

MSBlaster, W32/Lovsan.worm, Win32.Poza, WORM_MSBLAST.A

Descrizione

W32.Blaster.worm, con le successive varianti, è un worm che aggredisce i pc con Windows NT, Windows 2000, Windows XP e Windows 2003 Server sfruttando una vulnerabilità del sistema operativo descritta nel Bollettino Microsoft sulla sicurezza MS03-026 attraverso la porta TCP 135. Qualunque computer connesso ad internet può essere attaccato da altre macchine infette, indipendentemente dal tipo di attività svolta dall'utente. Nella macchina attaccata viene creato un file chiamato, a secondo delle varianti del worm, msblast.exe(per il W32.Blaster.Worm), penis32.exe(per il W32.Blaster.B.Worm), teekids.exe(per il W32.Blaster.C.Worm), mspatch.exe(per il W32.Blaster.D.Worm), mslaugh.exe(per il W32.Blaster.E.Worm), Enbiei.exe(per il W32.Blaster.F.Worm) all'interno della cartella %WinDir%\system32 (tipicamente, a secondo delle versioni di Windows, nelle cartelle \windows\system32 o \winnt\system32) e tale file viene quindi eseguito.
Il W32.Blaster.worm non si diffonde attraverso e-mail

Effetti

La macchina infetta, tra l'altro, è soggetta a degli improvvisi e ripetuti riavvii del sistema operativo. Possono anche verificarsi dei sensibili rallentamenti delle prestazioni del computer. Inoltre, in giorni del mese prestabiliti il worm tenta di lanciare dalle macchine infette un attacco verso il sito windowsupdate.microsoft.com, ovvero verso il sito Microsoft per gli update di Windows.

Come accorgersi dell'infezione

Verificare l'eventuale presenza nella cartella %WinDir%\system32 dei file elencati al punto Descrizione

Come proteggersi dall'infezione - Importante!!! -

Indipendentemente da qualunque altro accorgimento, installare la patch dal sito della Microsoft per impedire al worm di attaccare il sistema. Tale patch può essere prelevata direttamente dal sito Microsoft, a secondo della versione di Windows:

Installare inoltre un antivirus o, qualora questi sia già presente, accertarsi che sia aggiornato. Si rammenta che la presenza su ogni computer di un antivirus costantemente aggiornato è sempre fortemente auspicabile.

Come rimuovere il virus

Esistono diversi metodi per rimuovere il W32.Blaster.worm, alcuni basati su dei programmi appositi liberamente disponibili presso i siti dei maggiori produttori di antivirus. Di seguito verrà appunto esposto un metodo per rimuovere il worm utilizzando un programma fornito gratuitamente dalla McAfee. Tale metodo di rimozione è indipendente dalla presenza/aggiornamento di un antivirus sulla macchina infetta. Consiste in:

  1. Scaricare il programma Stinger.exe dal sito della McAfee e salvarlo sul Desktop
  2. Scaricare la patch fornita dalla Microsoft per impedire l'ulteriore infezione del worm e salvarla sul Desktop. Allo scopo utilizzare gli indirizzi precedentemente indicati al punto Come proteggersi dall'infezione
  3. Applicare la patch scaricata dalla Microsoft
  4. Disconnettere il computer dalla rete scollegando il cavo
  5. Per gli utenti di Windows XP disabilitare l'opzione per il ripristino del sistema. A tal fine utilizzare le istruzioni disponibili sul sito McAfee o sul sito Symantec
  6. Eseguire il programma stinger.exe
  7. In caso al termine dell'esecuzione del programma stinger.exe venga notificata l'individuazione/rimozione del worm, riavviare il computer e ripetere il punto 6
  8. Per gli utenti di Windows XP, riabilitare l'opzione per il ripristino del sistema, utilizzando le istruzioni riportate al punto 5 e rimuovendo adesso il segno di spunta sulla relativa opzione
  9. Riavviare il computer e riconnetterlo alla rete

Per ulteriori informazioni