La mia Homepage

Rimuovere il W32.Blaster.Worm (aka W32/Lovsan.worm)

(Blaster causa instabilità del sistema e inspiegabili Crash

What You Should Know About the Blaster Worm

Il Worm Blaster si insinua nel sistema sfruttando una vulnerabilità di Windows, i sistemi operativi afflitti sono i seguenti:

Windows XP - Windows 2000 - Windows NT 4.0 - Windows NT 4.0 Terminal Server Edition - Windows Server 2003

La patch che corregge questo problema è disponibile dal 16 luglio 2003 ma le persone che applicano tutti gli aggiornamenti

di sicurezza disponibili sono una ristretta minoranza e su questo fa leva chi scrive virus o prepara exploit.

Sappiate fin d'ora che Blaster è il primo ma non l'ultimo worm che sfrutterà questo baco, già c'è chi gli fa compagnia

Se state leggendo questa pagina è perchè probabilmente siete infetti, sintomo di infezione causata da Blaster sono blocchi

del sistema, crash e messaggi di errore appena vi collegate a Internet con conseguente disconnessione e riavvio del computer.

I messaggi di errore (sempre quando vi connettete a internet ) potrebbero essere come questo:

Il sistema sta per essere arrestato.salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche salvate

andranno perse. L' arresto è stato iniziato da NT AUTHORITY/SYSTEM Tempo rimasto prima dell'arresto: 00:00:40

Messaggio:
E' Necessario riavviare Windows Perchè il servizio RPC (Remote Procedure Call) è terminato in modo imprevisto

Vediamo di seguito come procedere alla rimozione di Blaster Worm

Scaricare la Patch dal sito Microsoft

Nota: Se a causa dei crash provocati da Blaster non riuscite a stare collegati nemmeno il tempo necessario per scaricare la piccola patch

potete attivare il firewall che su Windows XP è fornito di serie - vedi in fondo a questa pagina come fare per attivarlo.

Si consiglia di scaricare e applicare prima la patch, la pagina di riferimento in inglese è questa:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Nella pagina Microsoft trovate una dettagliata descrizione tecnica del problema e poi a fondo pagina nella parte

Patch availability vi si rimanda al download (i link sono diversi per ogni sistema operativo)

Scegliete il vostro sistema operativo, si aprirà un altra pagina (ho scelto XP per queste immagini)

Qui cliccate nella parte Change language, si aprirà un menu a cascata, selezionate italiano e premete il tasto GO

Si aprirà una pagina parzialmente in italiano, qui cliccate a destra su Download e scaricate la patch (sono solo1263 Kb)

(La maggior parte di voi scarichera la patch a 32 bit)

Ho illustrato tutta questa procedura perchè:

1) con il tempo i link possono cambiare

2) attraverso i motori di ricerca questa pagina può essere visitata da stranieri a cui un link diretto alla patch in Italiano non è

un granchè utile...

Se avete Windows XP 32bit e siete frettolosi il link diretto alla patch (lingua italiana) in questo momento è:

http://download.microsoft.com/download/a/2/f/a2fddb77-f81d-4fe5-a819-8787cba53a4b/WindowsXP-KB823980-x86-ITA.exe

Applicata la patch e riavviato il PC siete protetti da future infezioni ma dovete rimuovere il virus se siete già infetti.

Nota per chi ha Windows 2000: per applicare la patch è necessario aver prima installato almeno il Service Pack 3 o 4

Trattandosi di un download lungo si consiglia per non incorrere ogni 5 -10 minuti nei continui crash di sistema di:

1) Installare un Firewall - per esempio il facile e gratuito Outpost 1.0 o l'ancor più facile Outpost 2.0 (Trial 30 gg)

2) Rimuovere il Worm usando il Tools

3) Scaricare il Service Pack per Windows 2000 (l'ultimo è il 4) - Download Service Pack 4 (scegliete italiano)

Sappiate che i Service Pack sono cumulativi, cioè ogni nuova versione contiene tutte le patch presenti nelle versioni

precedenti oltre alle nuove, quindi SP4 contiene anche gli aggiornamenti contenuti nei precedenti.

4) Ora potete scaricare la patch per la vulnerabilità RPC per Windows 2000

Qui in italiano altri dettagli tecnici sulla patch e i prerequisiti necessari http://support.microsoft.com/?kbid=823980

--

Rimuovere il Worm

Per rimuovere Blaster possiamo usare uno di questi 2 Tools

1) Il Tools di rimozione Symantec - si scarica da questa pagina:

http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Vantaggi: Facile da usare, si scarica in pochi secondi (164 Kb) al termine della scansione ricorda la patch agli smemorati.

Svantaggi: è un programma dedicato e quindi scoverà solo il Worm Blaster

oppure

2) Usare Trend Micro System Cleaner  vedi pagina dedicata

Vantaggi: scansiona il sistema alla ricerca di tutti i virus compresi nel database dell'antivirus PC Cillin (Blaster Compreso)

Svantaggi: Dovete scaricare 2 files per un totale di circa 4 MB e saper usare un programma di decompressione files.

oppure

3) Agire manualmente vedi in fondo questa pagina (sconsigliato se non siete più che esperti, il Tools funziona benissimo!)

Visto che TSC ha una pagina dedicata vediamo qui come usare il Tools di rimozione Symantec

1) Recatevi nella pagina Symantec

http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

2) Scaricate il files (link diretto al file) http://securityresponse.symantec.com/avcenter/FixBlast.exe

puoi anche cliccare l'immagine per scaricare il file - click image for download

Scaricate il file dove volete, anche il desktop va benissimo

A questo punto basta premere il pulsante Start per iniziare la scansione ma se avete XP dovete prima fare un altra cosa

cioè disabilitare il System Restore altrimenti il Tools non potrà fare il suo lavoro di pulizia in quella speciale cartella.

La cartella System Restore fa una copia di backup del vostro sistema operativo per poter ripristinare il sistema in caso di

problemi, fa il backup di tutto, virus compresi, e siccome è una cartella speciale nessun Tools e nessun antivirus hanno diritto

di accesso (e di cancellazione) dei virus che si possono eventualmente trovare lì.

Il Tools e/o l'antivirus possono scovare un virus lì dentro ma non possono rimuoverlo.

Dovete quindi disabilitare System Restore - sotto il link Symatec alla pagina che spiega come fare, ci sono anche

le immagini quindi la cosa è facile ed è alla portata di tutti i cervelli, tale pagina è disponibile sia in italiano che in inglese.

Come disabilitare e riabilitare System Restore in XP

How to disable or enable Windows XP System Restore

Per XP esiste una pagina simile anche sul sito italiano VirusBusters curata da Vipera di it.comp.sicurezza.virus

--

Disabilitato System Restore potete iniziare la scansione premendo il tasto Start situato sul Tools

Il Tools al termine mostra se è stato trovato Blaster o meno e crea anche un file di log che potete aprire con qualsiasi editor di

testo come Notepad, Editpad, Word o Worpad, lì trovate nome e posizione dei files trovati infetti.

Al termine della scansione chiudendo il Tools si viene avvisati dell'esistenza della patch, se avete fatto come descritto fino ad

ora non ne avete bisogno, altrimenti scaricatela immediatamente per evitare di infettarvi di nuovo.

(premendo Sì si viene portati sulla stessa pagina Microsoft menzionata qui)

Al termine della pulizia consiglio di riavviare il PC e in seguito di ripetere di nuovo per sicurezza la scansione con il Tools

Raccomandazioni:

1) Al termine ricordate di aggiornare il vostro antivirus, con Blaster e le sue varianti ci sono stati anche più update al giorno.

2) Non dimenticate di riabilitare System Restore

3) Dei virus esistono sempre le varianti che vengono create anche per eludere antivirus e Tools di rimozione

Anche i Tools vengono aggiornati, assicuratevi di avere una copia recente, nel dubbio riscaricatela e confrontate il numero

di versione che è bene in evidenza su tutti i Tools Symantec (es: le immagini di questa pagina sono del Tools 1.0.0 e 1.0.4)

4) Avete imparato a vostre spese cosa è una vulnerabilità, vi è andata bene perchè Blaster non era distruttivo, ma se invece lo

fosse stato? Meglio prevenire che curare...quindi qualunque sia il vostro sistema operativo cliccate qui :

http://windowsupdate.microsoft.com e scaricate tutti gli aggiornamenti che vi vengono proposti, potete vedere qualche

immagine su questa operazione in fondo a questa pagina.

Se ci sono troppi aggiornamenti per il vostro tempo e/o la vostra connessione usate il tasto Rimuovi per deselezionarne

qualcuno e fare il dowload in più volte, una volta scaricato ogni aggiornamento disponibile ricordate di eseguire

WindowsUpdate almeno 2 volte al mese per cercare e scaricare eventuali nuove patch.

Non sottovalutate nemmeno le cose più basilari come il browser e il programma di posta elettronica, trovate nella mia

Homepage come aggiornare entrambi all'ultima versione 6 SP1 e come applicare gli indispensabili aggiornamenti cumulativi.

5) A Settembre Steve Gibson ha tirato fuori una piccola utility (29 Kb) che disabilita il servizio DCOM una volta per tutte.

 

Il programmino è freeware e basta scaricarlo e cliccarci sopra per disabilitare tale servizio, questo vi mette al ripare da

ipotetiche future vulnerabilità che possono essere scoperte in DCOM - info e download nella pagina http://grc.com/dcom

6) Gibson aveva visto giusto, è stata scoperta una ulteriore vulnerabilità nel servizio RPC e il 10 Settembre è uscita una nuova

patch, se possiedi XP -2000 - NT o Server 2003 non aspettare il prossimo Worm , applica la patch di protezione ora

Casi particolari sulla rimozione

Il Tools vi potrebbe avvisare che non riesce a eliminare uno o più files perchè in uso da Windows, in tal caso occorre

riavviare in modalità provvisoria e rieseguire in tale modalità la scansione con il Tools.

Se non sapete come riavviare in modalità provvisoria vi è una pagina Symantec che seppur in inglese è ricca di immagini

e di spiegazioni per ogni sistema operativo Windows, XP compreso, ecco il link:

http://www.symantec.com/techsupp/kbdocs/tsgeninfo.nsf/2001052409420406.html

---

Rimozione manuale - Solo per i più esperti o per chi adora smanettare

E' possibile rimuovere Blaster anche manualmente (descrizione per Windows XP-NT-2000)

Per farlo: Aggiornate l'antivirus , poi premete contemporeanamente i tasti CTRL ALT CANC

Apparirà il Task Manager, una finestra che mostra i processi attivi in corso, osservate bene l'elenco, dovete cercare un file

di nome msblast.exe, selezionatelo e premete il tasto che Termina o arresta il processo selezionato , non posso essere più

preciso nè mostrare una schermata in quanto non dispongo di nessuno dei sistemi operativi afflitti.

A questo punto fate una scansione completa del sistema con l'antivirus appena aggiornato per scovare e rimuovere i file infetti.

Fatto questo dovete mettere le mani nel registro di Windows (attenzione!)

Menù Start - nella parte esegui scrivete Regedit e premete OK o invio

Aperto l'editor del registro posizionatevi su:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Qui troverete la voce "windows auto update"="msblast.exe" (dovete eliminarla)

Chiudete pure il registro e riavviate, controllate dopo il riavvio che la voce non si sia riformata, se così fosse qualcosa è

andato storto oppure il Worm una volta collegati a Internet riesce a entrare di nuovo nel sistema*

*Anche chi rimuove manualmente Blaster deve applicare la patch Microsoft ;-)

Update - le varianti

Nota del 13 Agosto - E' uscita la variante B di Blaster che è identica alla precedente tranne per il nome dell'eseguibile

invece di usare msblast.exe il nome è mutato in penis32.exe regolatevi quindi di conseguenza.

La variante B è stata seguita subito dopo dalla variante C meno diffusa ma più difficile da rimuovere (teekids.exe)

Per scovare e rimuovere anche la variante B è necessario il Tool di rimozione Symantec versione 1.0.2

Questa versione è disponibile dal 13/8 ore 23 scova e rimuove le varianti di Blaster A e B.

Il Tools Symantec versione 1.04 (rilasciato il 15) scova e rimuove tutte le varianti al momento conosciute compresa la C

Non è escluso escano altre varianti del Worm e di conseguenza del Tools, nel dubbio riscaricatelo e leggete la versione

Una variante E di Blaster è comparsa il giorno 29 Agosto e potete leggere la descrizione sempre sul sito Symantec

nella variante E il nome di riferimento è mslaugh.exe

Il giorno 1 Settembre compare la variante F nome di riferimento dell'eseguibile Enbiei.exe - qui la descrizione

Il giorno 2 Settembre Symantec rilascia la versione 1.06 del Tools di rimozione che scova anche le varianti D E e F
 

Premendo il tasto About si hanno info supplentari sul Tools

--

Come eseguire WindowsUpdate

Se non lo avete mai fatto è ora di farlo! Risolto il vostro problema con Blaster cliccate qui:

http://windowsupdate.microsoft.com

Oppure usate il Bottone Windows Update presente nel vostro Sistema Operativo (in genere anche nel menù Start)

Un comodo collegamento per raggiungere WindowsUpdate è presente anche nel vostro browser Internet Explorer,

(qualunque sia il metodo che scegliete la pagina Microsoft che si aprirà è comunque sempre la stessa)

Dopo aver aperto la pagina Microsoft dopo circa un minuto vi verrà chiesto di scaricare un files di pochi Kb*

*(nel caso WindowsUpdate non fosse stato mai eseguito prima, nel caso questo non avvenisse premete il bottone

Scan for Updates presente nella pagina di Windows Update)

Premete Sì e attendete, questo file controlla il vostro PC e verifica di quali aggiornamenti avete bisogno

Nell'immagine seguente una schermata catturata da Windows 98, come vedete vengono proposti (10) aggiornamenti per

un totale di 3,5 MB, nel caso per XP o 2000 ci siano troppe patch da scaricare (se non avete ADSL ci vuole un bel pò)

potete deselezionarne qualcuno cliccando sul tasto Remove, poi premete Install Now per iniziare a scaricare.

Questi aggiornamenti richiedono sempre il riavvio del computer.

Ricordate di scaricare quelli che avete deselezionato la prossima volta che vi collegate!

Eseguite più volte WindowsUpdate finche non vi segnala che non c'è più nessun aggiornamento disponibile, in seguito cercate

nuovi aggiornamenti almeno 2 volte al mese, se volete che il vostro Windows sia al sicuro dovete fare così...

Ricordate che Blaster vi ha creato problemi ma l'aggiornamento che vi avrebbe protetto era disponibile da quasi un mese.

Nota: molti di voi ricorderanno un indirizzo diverso (http://windowsupdate.com) l'indirizzo è mutato perchè il worm Blaster

cerca di attaccare il sito dai computer infetti nel tentativo di renderlo inagibile e di impedire il download degli aggiornamenti

Qui qualche dettaglio http://www.sophos.com/virusinfo/articles/windowsupdate.html

---

Software utile - Firewall

Se avete Windows XP vi può essere utile per avere maggiore sicurezza attivare il firewall fornito di serie.

Prima di farlo sappiate che per non avere problemi bisogna avere un unico firewall attivo sul pc, quindi verificate di non

avere già un firewall (magari integrato nell'antivirus)

Fatta questa verifica ecco come fare per attivare il firewall di Windows XP

1) Recatevi in pannello di controllo a cliccate sull'icona Connessioni di Rete

2) Lì troverete le icone della vostra/e connessioni con cui vi collegate abitualmente a Internet, selezionate la/le connessione

su cui volete attivare la protezione firewall e con il tasto destro del mouse scegliete Proprietà

3) In Proprietà sezione Avanzate selezionate l'opzione "Proteggi il computer e la rete limitando o impedendo l'accesso al

computer da Internet"

Il firewall di XP è spartano ed essenziale ma averlo attivo può esservi utile, se qualcuno dei vostri conoscenti ha problemi con

il Worm Blaster e non riesce a stare collegato nemmeno il tempo necessario per scaricare la patch potete aiutarlo

telefonicamente ad attivare questo firewall e riuscire così a scaricare il file senza avere i crash causati da Blaster che grazie a

questa vulnerabilità DCOM RPC di Windows riesce a insinuarsi nel vostro computer.

--

Se invece non avete XP ma il Windows 2000 potete scaricare se lo desiderate il facile firewall gratuito Outpost 1.0

oppure la versione 2.0 (shareware - Trial 30 giorni) quest'ultima versione di Outpost non richiede praticamente nessuna

configurazione da parte dell'utente in quanto in fase di installazione scansiona il computer alla ricerca dei programmi che si

collegano a Internet e applica automaticamente le regole necessarie.

Trovate info in italiano su Outpost 1.0 in questa pagina - qui la versione 2.0 - altri link e siti che ne trattano sul sito Agnitum

---

Segnalo inoltre che dal 14 Agosto (aggiornamento #208 e superiori ) anche Lavasoft Ad-aware scova e rimuove il Worm

Blaster , trovate qui una guida all'installazione e uso di questo utilissimo programma freeware

Ricordate che Lavasoft Ad-aware dopo l'installazione va aggiornato online con l'apposito pulsante

--

Il Tools Microsoft per amministratori di reti (220 Kb)

Se siete amministratori di rete e volete controllare quale computer necessita della patch potete lanciare il Tools Microsoft

La mia Homepage

Copyright

Email

Sito Winzozz - Vietata la riproduzione