August 12th, 2003

00Canova

Что нужно знать про червя Worm.Win32.Blaster.a (он же LoveSAN)

Для прессы:
Первое сообщение об уязвимости — LSD Research Group, 16 июля
Microsoft Security Bulletin MS03-026 — 16 июля
CERT Vulnerability Note VU#568148 — 16 июля
Уточнение от Todd Sabin: уязвимость 139, 445 и 593 портов — BugTraq, 17 июля (подтверждено LSD Group 22 июля)
Department of Homeland Security Advisory — оригинал от 24 июля, update от 30 июля
Описание червя на LURHQ — 11 августа
Newly Discovered Worm Attacks Vulnerable Systems — Information Week, 11 августа
'MSBlast' worm begins spreading — все новости News.Com, с 16 июля по 11 августа
Описание вируса Worm.Win32.Blaster.a — Proantivirus Lab
Proantivirus Lab регистрирует массовую эпидемию — 12 августа

Для пользователя:
Worm.Win32.Blaster.a поражает только системы, родственные Windows NT (в том числе Win2000 и XP), но не трогает ME.
В задачи червя не входит причинение какого-либо ущерба пользователю, его компьютеру и файлам (если не считать перезагрузки ОС вскоре после заражения). В период до 16 августа червь, проникший в компьютер, занимается сканированием той подсети, куда он попал, выявлением уязвимых машин и их заражением. 16 августа (по локальному времени зараженной машины) все копии червя начнут атаку Syn Flood на сервер Microsoft Windows Update.
Те версии червя Worm.Win32.Blaster.a, которые до сих пор описаны специалистами из Symantec, LURHQ и Proantivirus Lab, ущербны. Они содержат две существенных ошибки, из-за которых запланированная атака на Microsoft может и не состояться. Первая ошибка состоит в том, что червь приводит к перезагрузке системы, т.е. обнаруживает себя раньше времени. Вторая — червь неправильно отдает уязвимым машинам свой собственный IP-адрес, а потому не может распространяться дальше после первичного заражения. Специалисты Symantec отмечают по этому поводу, что создатели червя наверняка устранят ошибки в ближайшую пару дней и выпустят новую версию.
Для профилактики заражения нужно поставить заплату от Microsoft. Если же червь уже заполз к вам в компьютер, его можно прибить вручную. Сперва через Task Manager (Диспетчер задач) следует убить процесс msblast, затем стереть файл из директории windows\system32. После этого нужно зачистить привет от вируса в registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
00Canova

Свежий Лондон

9 августа 2003 года, Найтсбридж, витрина Harrod's
Из Лондона привез на сей раз 165 картинок, из которых 116 уже выложены, а остальные заливаются в эту минуту. В том числе — купание публики в фонтанах, исламизация, чайнатаун, однорукий бандит-полководец, ночные виды на реку и Canary Wharf, вороны в Тауэре и т.п. хренотень.
  • Current Mood
    uploading