О вирусе MSBlast
  Эпидемия вируса MSBlast, он же Lovesan, Lovsan, Blaster, Poza, началась уже достаточно давно.

Во-первых, все, кто подцепил этот вирус, сами виноваты, поскольку не выполнили буквально самых элементарных требований сетевой безопасности: своевременная установка всех патчей и заплаток операционной системы и прикладных программ; использование качественного и хорошо настроенного файрволла; использование регулярно обновляемого антивируса.

Итак, примерно с 12 августа Сеть серьезно потряс новый (но далеко не последний!) червь w32.Blaster.worm, использующий давно известную и давно (фактически более месяца назад, в июле) закрытую заплатками уязвимость DCOM RPC в Windows NT / 2000 / XP / 2003 (соответственно, в Windows 9x червь проникнуть не может).

Для "успешного" заражения этим вирусом достаточно иметь открытыми порты 135, 139, 445. Голова червя - специальный пакет данных - проникает в атакованную систему беспечного пользователя через незащищенный файрволлом порт 135 и после этого без какого-либо участия пользователя закачивает все тело - файл-носитель MSBLAST.EXE (или TEEKIDS.EXE, или PENIS32.EXE) - с помощью законной системной программы TFTP.EXE - мини FTP-сервера. Файл MSBLAST.EXE регистрируется в разделе Run системного реестра Windows: HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\Current Version\Run "windows auto update"="ms-blast.exe"

И после перезагрузки компьютера вирус срабатывает во всей своей красе и сканирует сеть в поисках других жертв и продолжает свое распространение по сети, генерируя огромный объем левого траффика, а на компьютере пострадавшего отныне могут выполняться любые действия - перезагрузка, выполнение программ и т. п. К счастью, в своей исходной модификации вирус не удаляет, не изменяет и не похищает данные пользователя, но то ли еще будет... Симптомы присутствия вируса в системе таковы:

в папке Windows\System32\ присутствует файл MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE; в списке запущенных процессов имеется один из вышеуказанных файлов; в разделе реестра HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\ Windows\CurrentVersion\Run присутствует команда на запуск вышеуказанного файла; после нескольких минут работы в интернете происходит перезагрузка компьютера; в работе программ MS Office наблюдаются многократные сбои; появляются сообщения об ошибках, связанных с файлом SVCHOST.EXE; на экране появляется окно с сообщением об ошибке RPC Service.


    Ваши действия:
  1. Установить антивирус, или обновить базы;
    • disc Убить процесс MSBLAST или TEEKIDS или PENIS32;
    • Удалить файл(ы) указанные выше из папки WINDOWS\SYSTEM32;
    • удалите в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\Current Version\Run команду на запуск файла вируса (или воспользовавшись msconfig->автозагрузка убрать галочку)
    Перезагрузить компютер!
Что бы не заразиться:
    • Установить соответствующий патч.
    • Поставить антивирус.
    • Обновить антивирусные базы.
    		 

    Hosted by uCoz