brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
centro de resposta
downloads
parceiros
sobre a symantec
pesquisa
comentários


©1995-2009 Symantec Corporation.
Todos os direitos reservados.

 Notas Legais
Política de Privacidade
atualizações de segurança

W32.Blaster.Worm

Categoria 2
Data da descoberta: 11/08/2003
Data da última atualização: 17/06/2004

O W32.Blaster.Worm é um worm que explora a vulnerabilidade RPC do DCOM do Microsoft Windows (descrita no Microsoft Security Bulletin MS03-026 - em inglês), usando a porta TCP de número 135. O worm afeta somente computadores baseados no Windows 2000 e Windows XP. Embora computadores baseados no Windows NT e no Windows 2003 Server possuam a vulnerabilidade mencionada acima (caso não tenham sido adequadamente corrigidos), o worm não foi codificado para replicar-se nesses sistemas. Este worm tenta fazer o download e salvar o arquivo Msblast.exe. no diretório %WinDir%\system32 e então executá-lo. O worm não possui a funcionalidade de propagação através de e-mail.

Informações adicionais e um local alternativo para fazer o download da correção da Microsoft está disponível no seguinte artigo dessa empresa: "What You Should Know About the Blaster Worm and Its Variants" (este recurso encontra-se em inglês).

Recomendamos o bloqueio do acesso a porta TCP número 4444 no nível do firewall e bloquear as seguintes portas, caso as aplicações abaixo não sejam usadas:

  • Porta TCP 135, "DCOM RPC"
  • Porta UDP 69, "TFTP"

O worm também tenta executar um Denial of Service (DoS - Negação de Serviço) no servidor do Windows Update (www.windowsupdate.com). Esta tentativa evita que você instale em seu computador a correção da vulnerabilidade explorada por ele.

Clique aqui para obter mais informações sobre a vulnerabilidade explorada pelo worm e para informar-se sobre quais produtos da Symantec podem ajudá-lo a reduzir os riscos desta vulnerabilidade.

NOTA: Esta ameaça será detectada pelas definições de vírus que possuem:
  • Versão de definição (Defs Version): 50811s
  • Número Sequencial (Sequence Number): 24254
  • Versão extendida (Extended Version): 11/8/2003, rev. 19 (8/11/2003, rev. 19)

O Symantec Security Response desenvolveu uma ferramenta para limpar infecções do W32.Blaster.Worm.

Webcast do W32.Blaster.Worm
O webcast abaixo foi criado para trataru do assunto. Nele é possível encontrar estratégias de reduzir os danos e os riscos da infecção por este worm, e também fornece uma descrição detalhada do ataque DoS:
    http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63 (este recurso encontra-se em inglês).

    Também conhecido como: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
    Tipo: Worm
    Tamanho da infecção: 6,176 bytes
    Sistemas afetados: Windows 2000, Windows NT, Windows Server 2003, Windows XP
    Sistemas não afetados: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
    Referências CVE: CAN-2003-0352

    proteção
  • Definições de vírus (LiveUpdate™ semanal)

    • 11/08/2003
  • Definições de vírus (Intelligent Updater)

    • 11/08/2003

    avaliação da ameaça

    Propagação

    Estatísticas da ameaça
    Baixo Médio Médio

    Propagação:
    Baixo

    Dano:
    Médio

    Distribuição:
    Médio

    Dano

    Distribuição

    detalhes técnicos

    Quando o W32.Blaster.Worm é executado, ele faz o seguinte:

    1. Verifica se o computador já está infectado e se o worm está sendo executado. Em caso positivo, o worm não inrá infectar o computador novamente.

    2. Adiciona o valor:

      "windows auto update"="msblast.exe"

      à chave de registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      para que o worm seja executado na inicialização do Windows.

    3. Gera um endereço IP e tenta infectar o computador que possui aquele endereço. Esse endereço IP é gerado de acordo com os seguintes algoritmos:

      • Para 40% do tempo e endereço IP gerado é da forma A.B.C.0, onde A e B são iguais às primeiras duas partes no endereço IP do computador infectado.

        C também é calculado pela terá parte do endereço IP do computador infectado. Entretanto, para 40% do tempo o worm verifica se C é maior do que 20. Se for, um valor aleatório menor do que 20 é subtraído de C. Uma vez que o endereço IP é calculado, o worm irá tentar acessar um computador cujo endereço IP seja A.B.C.0.

        O worm então irá incrementar a última parte do endereço IP (0), tentando acessar outros computadores baseados no novo endereço IP, até que este atinja 254.
      • Com probabilidade de 60%, o endereço IP gerado é completamente aleatório.

    4. Envia dados para a porta TCP 135 que podem explorar a vulnerabilidade do RPC do DCOM. O worm envia um de dois tipos de dados: um para explorar a vulnerabilidade no Windows XP e outra para o Windows 2000. Em 80% do tempo os dados para o Windows XP serão enviados e para 20% dados para o Windows 2000.

      NOTAS:
      • Isto significa que a sub-rede local estará saturada de requisições para a porta 135.
      • Devido a natureza aleatória da forma através da qual o worm acessa os dados, isso poderá fazer com que os computadores afetados travem se dados incorretos forem enviados.
      • Embora o W32.Blaster.Worm não possa propagar-se no Windows NT ou no Windows 2003 Server, computadores que não possuam a correção e que executam esses sistemas operacionais podem travar quando o worm tentar acessá-los. Entratanto, se o worm for depositado e executado manualmente no computador ele não poderá propagar-se.
      • Se o serviço RPC falhar, o procedimeto padrão quando no Windows XP e no Windows Server 2003 é reiniciar o computador. Para desativar este recurso, consulte o primeiro passo das Instruções de Remoção.
    5. Usa o Cmd.exe para criar uma interface remota e oculta que irá monitorar a porta TCP 4444, permitindo ao invasor executar comandos no computador infectado de maneira remota.

    6. Monitora a porta UDP 69. Quando o worm recebe uma solicitação de um computador conectado através da vulnerabilidade do RPC do DCOM ele enviará o arquivo msblast.exe e executará o worm.

    7. Se a data atual for dia 16 ou superior dos meses de janeiro a agosto, ou se o mês atual for de setembro a dezembro, o worm tentará executar um ataque DoS (Negação de Serviço) no servidor do Windows Update. Entretanto, essa tentativa só terá sucesso se uma das condições abaixo ocorrer:
      • O worm está ativo em um computador que executa o Windows XP e este foi infectado ou reiniciado durante o período onde o worm causa maior dano.
      • O worm está ativo em um computador que executa o Windows 2000 e que foi infectado durante o período onde o worm causa maior dano e não foi reiniciado desde o momento da infecção.
      • O worm está ativo em um computador que executa o Windows 2000 e que foi reiniciado desde que foi infectado, duranto o período onde o worm causa maior dano, e o usuário logado no momento é Ádministrador.

    8. O tráfego do DoS possui as seguintes características:
      • Gera um alto tráfego de pacotes para porta 80 do windowsupdate.com.
      • Tenta enviar 50 pacotes RPC e 50 pacotes HTTP a cada segundo.
      • Cada pacote possui o tamanho de 40 bytes.
      • Se o worm não encontrar a entrada de DNS para o windowsupdate.com, ele usará 255.255.255.255 como endereço de destino.
      Algumas características corrigidas do TCP e dos cabeçalhos IP são:
        • Identificação do IP = 256
        • Tempo de vida = 128
        • Endereço IP original: = a.b.x.y, onde a.b são do ip do host e x.y aleatórios. Em alguns casos a.b também são aleatórios.
        • Endereço IP de destino: = resolução dns de "windowsupdate.com"
        • A porta TCP de origem está entre 1000 e 1999
        • A porta TCP de destino = 80
        • Número de sequência do TCP sempre possui dois bytes de menor valor definidos como 0; os dois maiores valores são aleatórios.
        • Tamanho da janela TCP = 16384


    O worm contém o seguinte texto, que nunca é exibido:

    I just want to say LOVE YOU SAN!!
    billy gates why do you make this possible ? Stop making money and fix your software!!

    (Tradução: Eu só queria dizer EU TE AMO, SAN! !
    billy gates porque você deixa isso acontecer? Pare de ganhar dinheiro e corrija seu software!!)


    Reduzindo os danos do ataque DoS
    Em 15 de agosto de 2003 a Microsoft excluiu o registro de DNS para o windowsupdate.com. Enquanto a porção dpo worm responsável pelo DoS não afetará o recurso Windows Update, os administradores de rede podem seguir as seguintes recomendações para reduzir os danos do ataque DoS:
    • Altere o roteamento do windowsupdate.com para um endereço IP especial. Isto irá alertar quanto a computadores infectados, caso exista um "servidor de monitoramento" interceptando o tráfego de pacotes.
    • Configuração de regras anti-mascaramento (anti-spoofing) precisam ser implementadas nos roteadores caso ainda não existam. Isto irá evitar que uma alta porcentagem de pacotes deixe a rede. Usar uRPF or ou ACLs egressos será efetivo.


    Symantec Gateway Security
    • Em 12 de agosto de 2003 a Symantec lançou uma atualização para o Symantec Gateway Security 1.0.
    • A tecnologia de firewall para inspeção total de aplicações desenvolvida pela Symantec protege contra esta vulnerabilidade da Microsoft, bloqueando por padrão todas as portas TCP listadas acima. Para máxima segurança, a terceira geração da tecnologia de inspeção total de aplicações bloqueia de maneira inteligente os túneis do tráfico do DCOM através de canais HTTP além de oferecer uma camada extra de proteção não disponibilizada em muitos firewalls para filtro de rede.

    Symantec Host IDS
    Em 12 de agosto de 2003 a Symantec lançou uma atualização para o Symantec Host IDS 4.1.

    Intruder Alert
    Em 12 de agosto de 2003 a Symantec lançou uma Intruder Alert 3.6 W32_Blaster_Worm Policy (este recurso encontra-se em inglês).

    Symantec Enterprise Firewall
    A tecnologia de firewall para inspeção total de aplicações desenvolvida pela Symantec protege contra o W32.Blaster.worm, bloqueando todas as portas TCP listadas acima por padrão.

    Symantec ManHunt
    • A tecnologia Protocol Anomaly Detection do Symantec ManHunt detecta a atividade associada a este worm como "Portsweep." Embora o ManHunt possa detectar a atividade associada a este worm usando essa tecnologia, você pode usar a assinatura personalizada da vulnerabilidade ("Microsoft DCOM RPC Buffer Overflow"), distribuída no Security Update 4, para identificar de forma precisa este worm.
    • Um Security Update 5 foi disponibilizado para fornecer assinaturas específicas para o W32.Blaster.Worm, as quais incluem a detecção para mais atributos do W32.Blaster.Worm.
    • A tecnologia Protocol Anomaly Detection do Symantec ManHunt detecta a atividade associada a este worm com o tráfego de dados causado pelo DoS. O Security Response criou uma assinatura personalizada para o ManHunt 3.0, disponibilizada Security Update 6, para detectar este ataque como sendo específico do Blaster.

    Enterprise Security Manager
    O Symantec Security Response disponibilizou uma Response Policy (este recurso encontra-se em inglês) para esta vulnerabilidade em 17 de julho de 2003.

    Symantec Vulnerability Assessment
    Em 17 de julho de 2003, o Symantec Security Response publicou uma versão que detecta e reporta a vulnerabilidade.

    Symantec NetRecon
    O Symantec NetRecon pode identificar computadores que estão suscetíveis ao W32.Blaster.Worm, através da identificação da vulnerabilidade do RPC do DCOM. Consulte o SU6 para o Symantec NetRecon para maiores detalhes.

    recomendações

    O Symantec Security Response recomenda que todos os usuários e administradores observem as seguintes "melhores práticas" de segurança básica:

    • Desative e exclua os serviços de que não precisa. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que nem todos utilizam, como clientes FTP, telnet e servidores Web. Só que esses serviços são verdadeiras vias de ataque. Se removidos, além de menos vias de ataque, você terá menos serviços e, assim, menos atualizações de correções com que se preocupar.
    • Se uma ameaça diversificada atingir serviços de rede, desative-os ou bloqueie acesso a eles até poder aplicar uma correção.
    • Mantenha seus níveis de correção sempre atualizados, especialmente no caso de computadores que abrigam serviços públicos e são acessíveis através do firewall, como os de HTTP, FTP, correio e DNS.
    • Adote uma senha. As senhas compostas dificultam a quebra dos arquivos de senha dos computadores afetados. Isso contribui para evitar ou limitar os danos quando um computador é afetado.
    • Configure seu servidor para bloquear ou remover e-mail que tenha arquivos anexados com extensões comumente usadas para disseminar vírus, como .vbs, .bat, .exe, .pif e .scr.
    • Isole rapidamente os computadores infectados, a fim de evitar um ainda maior comprometimento de sua empresa. Faça uma análise posterior e restaure o computador usando meios confiáveis.
    • Treine os funcionários a não abrir os anexos não esperados. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode promover infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.
    instruções de remoção

    Remoção usando a Ferramenta de Remoção do W32.Blaster.Worm
    O Symantec Security Response criou uma ferramenta para remover o W32.Blaster.Worm. Esta é a maneira mais fácil de se remover esta ameaça.

    Remoção manual
    Como alternativa ao uso da ferramenta, você pode remover esta ameaça manualmente.

    Estas instruções se aplicam a todos os produtos antivírus atuais e aos mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus e Norton AntiVirus.
    1. Restaure a conectividade da Internet.
    2. Finalize o processo do worm.
    3. Atualize as definições de vírus.
    4. Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como W32.Blaster.Worm.
    5. Reverta as alterações feitas pelo worm ao registro.
    6. Obtenha a correção da Microsoft para a vulnerabilidade do RPC do DCOM.
    Para maiores detalhes sobre como fazer isto, leia as seguintes instruções.

    1. Para restaurar a conectividade da Internet
    Em muitos casos, tanto no Windows 2000 quando no XP, alterar as configurações para o serviço Remote Call Procedure (RPC) pode permitir que você conecte-se a Internet sem que o computador seja desligado. Para restaurar a conectividade da Internet, siga os passos abaixo:
      1. Clique em Iniciar > Executar. A caixa de diálogo Executar será aberta.
      2. Digite:

        SERVICES.MSC /S

        na linha de comando e clique em OK. A janela Serviços será aberta.
      3. No painel direito, localize o serviço Remote Procedure Call (RPC).

        CUIDADO: Na lista também existe um serviço chamado Remote Procedure Call (RPC) Locator. Não confunda os dois serviços.

      4. Clique com o botão direito no serviço Remote Procedure Call (RPC) e clique em Propriedades.
      5. Clique na guia Recuperação.
      6. Usando a lista suspensa, altere os itens Primeira falha, Segunda falha e as falhas subsequentes para "Reiniciar o serviço".
      7. Clique em Aplicar e em OK.

        CUIDADO: Certifique-se de alterar estas configurações após ter removido o worm.

    2. Para localizar e interromper o processo do worm:
    1. Pressione as teclas Ctrl+Alt+Delete uma vez.
    2. Clique em Gerenciador de Tarefas.
    3. Clique na guia Processos.
    4. Clique duas vezes sobre a coluna Nome da Imagem para ordenar os processos por ordem alfabética.
    5. Role a lista e procure pelo serviço msblast.exe.
    6. Se você encontrar o arquivo, clique uma vez sobre ele para selecioná-lo e clique no botão Finalizar Processo.
    7. Saia do Gerenciador de Tarefas.

    3. Para atualizar as definições de vírus

    O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:
      Para usuários sem experiência

      Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa explosão de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste alerta.

      Para administradores de redes

      Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.


      Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui.

    4. Para executar uma verificação completa no sistema
    1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
    2. Execute uma verificação completa do sistema.
    3. Se houver arquivos detectados como infectados com W32.Blaster.Worm clique em Excluir.

    5. Para remover o valor do registro

    CUIDADO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
    1. Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
    2. Digite regedit

      Clique em OK (O Editor do Registro será exibido).

    3. Navegue até a chave:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    4. No painel direito, exclua o valor:

      "windows auto update"="msblast.exe"

    e. Saia do Editor do Registro.


    6. Para obter a correção da Microsoft para a vulnerabilidade do RPC do DCOM
    O W32.Blaster.Worm é um worm que explora a vulnerabilidade do RPC do DCOM usando a porta TCP 135. O W32.Blaster.Worm também tenta executar um DoS no servidor do Windows Update (windowsupdate.com). Para corrigir esta vulnerabilidade, é importante obter a correção da Microsoft em Microsoft Security Bulletin MS03-026.

    Informações adicionais:

    Informações adicionais e um local alternativo para fazer o download da correção da Microsoft está disponível no artigo "What You Should Know About the Blaster Worm and Its Variants".

    Histórico de revisões:

    15 de agosto de 2003:

    • Adicionadas recomendações adicionais pertinentes a redução dos riscos do DoS.
    • Adicionadas referências às atualizações do Symantec NetRecon e do Symantec Vulnerability Assessment.
    • Adicionado link para o Symantec Webcast.
    • Adicionadas informaçòes sobre as atualizações do Symantec ManHunt.
    14 de agosto 2003:
    • Fornecidas recomendaçòes para reduzir os danos do ataque DoS.
    • Atualizadas informações dos danos do DoS.
    • Adicionadas informações sobre o tráfego DoS.
    13 de agosto de 2003:
    • Adicionado o local do download.
    • Pequenas alterações na formatação
    12 de agosto de 2003:
    • Elevado da Categoria 3 para a Categoria 4 baseado no aumento do número de submissões.
    • Adicionado codinomes adicionais.
    • Seção Detalhes Técnicos foi atualizada.
    • Adicionada informação sobre como alterar as configurações do RPC.

    Relatório feito por: Douglas Knowles, Frederic Perriot, Peter Szor