På grunn av stigende aktivitet av W32.Blaster.Worm har de fleste bedrifter oppgradert trusselen fra Internettormen til rød alarm. Windows Update blir sterkt angrepet for øyeblikket fra hundretusener av angrep/personer som ønsker å oppdatere sitt Windowsbaserte operativsystem. Har du ikke tatt dine forhåndsregler ennå så bør du gjøre det umiddelbart.

Ormen som forblir aktiv i systemet etter å ha blitt aktivisert, åpner en kommandoprompt på TCP port 4444. Ondsinnede brukere kan benytte denne porten til å starte ytterligere ondsinnede koder. Dette kan igjen danne grobunn for en mer sofistikert internettorm enn forgjengeren.

Hva gjør W32.Blaster.Worm?

W32.Blast.worm replikkerer seg via TCP port 135. Når ormen finner et ikke oppdatert system vil den droppe en kopi av seg selv til Windows system-mappen. Dette skjer ved bruk av en remote shell, som lytter på TCP port 4444. Ormen starter koden ved å kjøre en TFTP (Trivial File Transfer Protocol) kommando (tftp -i %s GET %s), som via shell´et laster ned og starter koden fra den maskinen som har initieret forbindelsen. Ormekoden legges til Windows system mappen under navnet msblast.exe (pakket med UPX) og modifiserer registreringsdatabasen for å kunne reaktivere seg selv ved omstart av systemet. Den oppretter derfor følgende runas verdier i registreringsdatabasen:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Run “windows auto update”=msblast.exe I just want to say LOVE YOU SAN!! bill

Ormen inneholder følgende tekst:

“billy gates why do you make this possible ? Stop making money and fix your software!!”

Systemer med åpen port 135 kan oppleve ustabilitet som potensielt forårsaker at systemer ukritisk gjenstartes med en feilmelding fra SVCHOST. Eurotrust/Virus112 har sett mange eksempler på at dette forekommer på systemer som allerede er blitt oppdatert. Ormen benytter et Windows 2000 offset i exploitkoden, som er et ytterst effektivt Denial of Service mot Windows XP systemer.

Vi anbefaler følgende:

Først og fremst anbefales man å oppgradere med den oppdatering, som er frigitt av Microsoft. Se nedenstående link. Utover dette bør man overveie å blokkere for trafikk til følgende porter: UDP/135, TCP/135, UDP/137, TCP/137, TCP/445 og TCP/593. Det kan skje via en sentral firewall.

ISP´ere bør overveie å filtre TCP port 135.

Hjemmearbeidsplasser bør etableres med en sikkerhetspolitikk som forhindrer ormen i å repplikere seg til interne nettverk blant annet via IPSec eller bærbare PC´er som kobles direkte på det interne nettverket. Et oppdatert antivirusprogram er i stand til å konstantere W32.Blast.worm på et infisert system. Norman Antivirus detekter denne trusselen som W95/Blaster-A.

Microsoft patch kan lastes ned via Microsoft Security Bulletin MS03-026 som ble publisert 16. juli.

Hurtiglink for Windows XP:
Last ned Blaster Worm: Critical Security Patch for Windows XP.

Hvordan fjerner man ormen?

1. Oppdater maskinen med Microsofts oppdatering som nevnt over.
2. Fjern verdien i registreringsdatabasen, som peker på msblast.exe:
   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run “windows auto update”
3. Restart maskinen.
4. Slett deretter msblast.exe fra Windows system-mappen (C:/Windows/System32/msblast.exe).

Alternativt kan du laste ned og kjøre FixBlast.exe fra Symantec som gjør punkt 2 – 4 automatisk for deg.