Nieuw virus: W32.Blaster.Worm

woensdag 13 augustus 2003

Systemen waar sinds 16 juli geen update meer is uitgevoerd, kunnen aangevallen worden door de worm W32.Blaster. Het gaat hierbij dan om computersystemen met Microsoft Windows NT 4.0 of hoger. Om precies te zijn: alle versies van Windows NT 4.0, Windows 2000, Windows XP en Windows Server 2003. Bij deze systemen zit er een fout in de RPC-service waardoor het virus zich kan installeren. Remote Procedure Call (RPC) is een protocol dat gebruikt wordt door de eerder genoemde Windows-systemen. Simpelweg gezegd kan met behulp van RPC een programma op de ene computer een programma aanroepen en uitvoeren op een andere computer.

Deze RPC-service wordt door het virus gebruikt voor zijn kwaadaardige bedoelingen. Het virus scant eerst de computer op de TCP-poorten 135, 139 of 445 om vervolgens gebruikt te maken van een backdoor shell command waardoor de RPC-service wordt afgesloten en het systeem wordt afgesloten. Alle geïnfecteerde pc's zullen vanaf 16 augustus DDoS-aanvallen uitvoeren gericht op de Windows Update-site. In eerste instantie iedere 16e tot en met de 31e van de maanden januari t/m augustus. Vervolgens zullen de DDos-aanvallen iedere dag plaatsvinden in de maanden september t/m december.

Het gebruik van een firewall kan misbruik door dit virus nog wel enigszins beperken, maar het wordt toch aangeraden de patch te installeren. Op deze TechNet-pagina van Microsoft staat alle benodigde informatie over de patch. Mocht het computersysteem al besmet zijn met dit virus dan kan er bij Symantec een tool worden opgehaald om het virus te verwijderen.

Tags: