MSBlast: ещё раз о наболевшем

Q: Помогите, пожалуйста, справиться с глюком на компе. Через некоторое время после запуска системы она выдаёт надпись: «…вызвано NT AUTORITY\SYSTEM… остановка службы Удалённый вызов процедур (RPC)…». С большой красной кнопкой с крестом и благополучно перезагружает комп. На компе стоит XP и internet как выделенка. КАК с этой дрянью бороться? Она не даёт работать в Интернете больше нескольких минут. Неужто настало время сносить систему? Отпишите, не поленитесь. Буду вам очень признателен.

A: Не, ну у меня просто наболело! Господа хорошие, ну как же так можно? Эпидемия вируса «MSBlast», он же «Lovesan», «Lovsan», «Blaster», «Poza» началась уже достаточно давно, чтобы даже до самых неповоротливых пользователей дошли слухи об этом опасном черве, но, тем не менее, в почтовый ящик всё ещё валятся вопросы на эту тему (а знакомые обрывают мобильник). Уважаемые, меня сильно удивляет такая позиция! Во-первых, все, кто подцепил этот вирус, сами виноваты, поскольку не выполнили буквально самых элементарных требований сетевой безопасности: своевременная установка всех патчей и заплаток операционной системы и прикладных программ; использование качественного и хорошо настроенного файерволла; использование регулярно обновляемого антивируса. Во-вторых, мне непонятно, как можно, имея доступ в Интернет (а без него не было бы и этого вируса), совершенно не быть в курсе происходящего? Ведь достаточно было бы в любой поисковой службе ввести часть текста того сообщения, с которым Windows XP уходит в перезагрузку, как вы получили бы подробнейшую информацию по борьбе с этим червём из самых первых рук — от антивирусных компаний! Кстати говоря, антивирусные компании (например, Касперского) очень оперативно предоставляли своим подписчикам всю необходимую информацию по новой эпидемии непосредственно по электронной почте. Или просто загляните в какие-нибудь веб-конференции и почитайте, что пишут люди. Но нет, в конференции журнала Upgrade вообще доходило до смешного, когда несколько сообщений о появлении странного сбоя RPC или файла MSBlast.exe шли почти одно за другим и при этом те, кто их писал, не удосуживались взглянуть ни на объявление в заголовке конференции, ни в чуть более ранние посты, где уже давно имелись все необходимые разъяснения по данной проблеме и все ссылки на подробные материалы, посвящённые новому вирусу и борьбе с ним.

Ну да делать нечего, раз всё так запущено, то попробую вкратце пересказать всё то, что уже давно известно. Итак, примерно с 12 августа всемирную сеть серьёзно потряс новый (но далеко не последний!) червь w32.Blaster.worm, использующий в своих коварных замыслах давно известную и давно (фактически более месяца назад, в июле) закрытую заплатками уязвимость DCOM RPC в Windows NT/2000/XP/2003. Соответственно, в Windows 9x червь проникнуть не может. Для успешного заражения этим вирусом достаточно иметь открытыми порты 135, 139, 445. «Голова» червя, специальный пакет данных, проникает в атакованную систему беспечного пользователя через незащищённый файерволлом порт 135 и после этого без какого-либо участия пользователя закачивает всё «тело» — файл-носитель MSBLAST.EXE (или TEEKIDS.EXE, или PENIS32.EXE) с помощью законной системной программы TFTP.EXE — мини FTP-сервера. Файл MSBLAST.EXE регистрируется в разделе Run системного реестра Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
"windows auto update"="msblast.exe"

И после перезагрузки ПК вирус срабатывает во всей своей красе. Затем вирус сканирует сеть в поисках других жертв и продолжает своё победное распространение по Интернету, генерируя огромный объём «левого» трафика (к слову, даже серверы windowsupdate.com компании Microsoft не выдержали его DDoS-атаки, активизирующейся 16 августа каждого месяца), а на компьютере пострадавшего отныне могут выполняться любые действия — перезагрузка, выполнение программ и т. п. К счастью, в своей исходной модификации вирус не удаляет, не изменяет и не похищает данные пользователя, но то ли ещё будет…

Таким образом, симптомы присутствия вируса в системе таковы:

• в папке WINDOWS\SYSTEM32\ присутствует файл MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE
• в списке запущенных процессов имеется один из вышеуказанных файлов
• наличие в разделе реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run команды на запуск вышеуказанного файла
• после нескольких минут работы в Интернете происходит перезагрузка компьютера
• в работе программ MS-Office наблюдаются многократные сбои
• появляются сообщения об ошибках, связанных с файлом SVCHOST.EXE
• на экране появляется окна с сообщением об ошибке RPC Service

Для удаления червя (в том числе вручную) и защиты от подобных вирусов впредь необходимо сделать следующее:

• отключитесь от Интернет
• используя менеджер процессов (вызывается клавишами CTRL-ALT-DEL), выгрузите из памяти процесс MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE
• удалите с диска соответствующий файл
• удалите в разделе реестра HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run команду на запуск файла вируса
• перегрузите ПК
• более тщательно удалите все следы текущей модификации вируса из системы с помощью антивирусной программы или специальных бесплатных утилит, предназначенных исключительно для борьбы с «Lovesan»:
  • ftp://ftp.kaspersky.com/utils/clrav.zip
  • http://securityresponse.symantec.com/avcenter/FixBlast.exe
• установите патч. Если постоянные перезагрузки, вызванные работой вируса, не дают возможности скачать обновление, то попробуйте временно переименовать файл TFTP.EXE (две его копии находятся в системном каталоге Windows, обычно \WINDOWS\SYSTEM32\, и скрытом каталоге \WINDOWS\SYSTEM32\DLLCACHE)

Прямые ссылки на файлы

• Windows NT 4.0 Server
  • русский
  • английский
  • немецкий
  • французский
  • испанский
• Windows NT 4.0 Terminal Server Edition
  • английский
  • немецкий
  • французский
  • испанский
• Windows 2000
  • русский
  • английский
  • немецкий
  • французский
  • испанский
• Windows XP 32 bit Edition
  • русский
  • английский
  • немецкий
  • французский
  • испанский
• Windows XP 64 bit Edition
  • английский
  • немецкий
  • французский
• Windows Server 2003 32 bit Edition
  • русский
  • английский
  • немецкий
  • французский
  • испанский
• Windows Server 2003 64 bit Edition
  • английский
  • немецкий
  • французский

Установите хороший файерволл и заблокируйте TCP/UDP порты 135, 139, 445, 69 и 4444. Файерволл можно использовать как англоязычный, например:

• Norton Internet Security (http://www.symantec.com/),
• Sygate Personal Firewall (http://www.sygate.com/),
• Network Ice Black ICE Defender (http://www.networkice.com/),
• Zone Alarm (http://www.zonelabs.com/),
• ConSeal PC Firewall (http://www.signal9.com/),

так и отечественный:

• Kaspersky Anti-Hacker (http://www.kaspersky.ru/buyonline.html?info=1092732),
• Outpost (http://www.agnitum.com/products/outpost/).