W32.Blaster.Worm

Sulla base del numero di segnalazioni ricevute dai clienti e delle informazioni provenienti da Symantec, Symantec Security Response questa minaccia è stata aggiornata a una Categoria 2 da una Categoria 3. W32.Blaster.Worm è un worm che sfrutta la vulnerabilità DCOM RPC (descritta in Microsoft Security Bulletin MS03-026) utilizzando la porta TCP 135. Il worm attacca solo computer con Windows 2000 e Windows XP. Anche se i computer con Windows NT e Windows 2003 Server sono vulnerabili all'exploit menzionato sopra (se non sono aggiornati in modo adeguato), il worm non è codificato per riprodursi in questi sistemi. Il worm prova a scaricare il file msblast.exe nella directory %WinDir%\system32 e ad eseguirlo. W32.Blaster.Worm non possiede la funzionalità di distribuzione di massa. Nell'articolo di Microsoft, "Come proteggersi dal virus Blaster e dalle sue varianti", sono disponibili ulteriori informazioni e il collegamento a un sito alternativo da cui scaricare il patch Microsoft Bloccare l'accesso alla porta TCP 4444 a livello del firewall, quindi bloccare le porte seguenti, se non utilizzano le applicazioni elencate: Porta TCP 135, "DCOM RPC" Porta UDP 69, "TFTP" Il worm tenta anche di sferrare un attacco di tipo Denial of Service (DoS) al sito windowsupdate.com. Il tentativo è volto a impedire l'applicazione di una patch al computer contro la vulnerabilità DCOM RPC. Per ulteriori informazioni sulla vulnerabilità che viene sfruttata da questo worm e per scoprire quali prodotti Symantec possono aiutare a mitigare i rischi connessi, fare clic qui. NOTA: questa minaccia verrà rilevata dalle seguenti definizioni dei virus: Versione definizioni: 50811s Numero sequenziale: 24254 Versione estesa: 8/11/2003, rev. 19 Symantec Security Response ha sviluppato uno strumento di rimozione per ripulire le infezioni causate da W32.Blaster.Worm. W32.Blaster.Worm Webcast 'E disponibile il seguente Webcast dove sono discusse strategie per l'attenuazione e il rimedio dei danni e viene fornita una descrizione dettagliata dell'attacco DoS: http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63
Collegamento allo strumento di rimozione: http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-w32.blaster.worm.removal.tool.html

Noto anche come:	W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
Tipo:	worm
Lunghezza dell’infezione:	6.176 byte
Sistemi operativi minacciati:	Windows 2000, Windows NT, Windows XP, Windows Server 2003
Sistemi operativi non minacciati:	Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
Riferimenti CVE:	CAN-2003-0352

Definizioni dei virus (LiveUpdate™ Weekly) 11/08/2003 Definizioni dei virus (Intelligent Updater) 11/08/2003

Wild Numero di macchine infette: Più di 1000 Numero di sedi infette: Più di 10 Distribuzione geografica: Alta Contenimento della minaccia: Moderata Rimozione: Moderata

Grafico della minaccia Wild: Bassa Danno: Media Distribuzione: Media

Danno

• Codice nocivo (payload):
  • Rilascio di informazioni riservate: Può causare il blocco del computer.
  • Compromissione delle impostazioni di sicurezza: Apre una shell cmd.exe remota nascosta.

Distribuzione

• Porte: TCP 135, TCP 4444, UDP 69
• Bersaglio dell’infezione: Computer su cui sono in esecuzione servizi DCOM RPC vulnerabili.

Quando W32.Blaster.Worm viene eseguito, svolge le seguenti operazioni:

1. Controlla per vedere se il computer è già infetto e se il worm è in esecuzione. In questo caso, il worm non infetta il computer una seconda volta.
   
   
2. Aggiunge il valore:
   
   "windows auto update"="msblast.exe"
   
   alla chiave di registro:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   in modo che il worm venga eseguito all'avvio di Windows.
   
3. Genera un indirizzo IP e prova a infettare il computer che ha questo indirizzo. L'indirizzo IP viene generato di solito in base agli algoritmi seguenti:
   
   • Nel 40% dei casi, l'indirizzo IP generato ha la forma A.B.C.0, dove A e B sono uguali alle prime due parti dell'indirizzo IP del computer infetto.
     
     C è calcolato in base alla terza parte dell'indirizzo IP del computer infetto; tuttavia, nel 40% dei casi, il worm controlla se C è maggiore di 20. In questo caso, viene sottratto da C un valore a caso inferiore a 20. Dopo avere calcolato l'indirizzo IP, il worm tenterà di individuare e attaccare un computer con l'indirizzo IP A.B.C.0.
     
     Il worm incrementa quindi la parte 0 dell'indirizzo IP di 1, tentando di individuare e attaccare altri computer basati sul nuovo indirizzo IP, fino a raggiungere 254.
     
   • Con una probabilità del 60%, l'indirizzo IP generato è completamente casuale.
     
4. Invia dati sulla porta TCP 135 dove è possibile sfruttare la vulnerabilità DCOM RPC. Il worm invia uno tra due tipi di dati: quelli per attaccare Windows XP o quelli per attaccare Windows 2000.
   
   Nell'80% dei casi, sono inviati i dati relativi a Windows XP mentre nel 20% sono inviati i dati relativi a Windows 2000.
   
   NOTA:
   • La subnet locale viene saturata di richieste sulla porta 135.
   • Anche se W32.Blaster.Worm non può propagarsi su Windows NT o Windows 2003, i computer non aggiornati su cui sono in esecuzione questi sistemi operativi possono bloccarsi in seguito ai tentativi di attacco del worm. Tuttavia, se il worm viene introdotto manualmente ed eseguito su un computer su cui sono in esecuzione questi sistemi operativi, esso può allora essere eseguito e propagarsi.
   • Il worm elabora i dati di exploit in modo casuale e, per questo motivo, può causare il blocco del servizio RPC se questo riceve dati incorretti. Questo può manifestarsi come svchost.exe, generando degli errori provocati dai dati incorretti.
   • Se il servizio RPC si blocca, la procedura predefinita sotto Windows XP e Windows Server 2003 è quella di riavviare il computer. Per disattivare questa opzione, vedere il punto 1 delle istruzioni di rimozione qui sotto.
     
5. Utilizza Cmd.exe per creare una shell remota nascosta che rimarrà in ascolto sulla porta TCP 4444, consentendo a chi compie l'attacco di inviare dei comandi a distanza al sistema infetto.
   
6. Si mette in ascolto sulla porta 69 UDP. Quando il worm riceve una richiesta da un computer al quale ha potuto connettersi mediante l'exploit DCOM RPC, invierà msblast.exe a questo computer e gli domanderà di eseguire il worm.
   
7. Se la data corrente è compresa tra il 16 e l'ultimo giorno del mese per i mesi da gennaio ad agosto, o se il mese corrente è compreso tra settembre e dicembre, il worm tenterà di eseguire un attacco DoS al Windows Update. Tuttavia, il tentativo di eseguire il DoS riuscirà solo se sono presenti le seguenti condizioni:
   • Il worm viene eseguito su un computer Windows XP che è stato infettato oppure riavviato durante la routine nociva.
   • Il worm viene eseguito su un computer Windows 2000 che è stato infettato durante la routine nociva e che non è stato riavviato dopo l'infezione.
   • Il worm viene eseguito su un computer Windows 2000 che è stato riavviato dopo l'infezione, durante la routine nociva, e dove l'utente è attualmente registrato come Administrator.
     
8. Il traffico DoS ha le seguenti caratteristiche:
   • 'E un flusso SYN sulla porta 80 di windowsupdate.com.
   • Prova a inviare 50 pacchetti http ogni secondo.
   • Ogni pacchetto ha una lunghezza di 40 byte.
   • Se il worm non riesce a trovare una voce DNS per windowsupdate.com, utilizza un indirizzo di destinazione di 255.255.255.255.

Alcune caratteristiche fisse delle intestazioni TCP e IP sono:
• Identificazione IP = 256
• Durata dell'attività = 128
• Indirizzo IP d'origine = a.b.x.y, dove a.b provengono dall'ip dell'host e x.y sono casuali. In alcuni casi, a.b sono casuali.
• Indirizzo Ip di destinazione = risoluzione dns di "windowsupdate.com"
• Porta di origine TCP compresa tra 1000 e 1999
• Porta di destinazione TCP = 80
• Il numero di sequenza TCP ha sempre due byte bassi impostati su 0, i due byte alti sono casuali.
• Dimensioni finestra TCP = 16384

• Reindirizzare windowsupdate.com su un indirizzo IP interno speciale: se si dispone di un server in ascolto per intercettare il flusso SYN, sarà possibile sapere quali computer sono infetti.
• Configurare le regole anti-spoofing sui router, se non è già stato fatto. In questo modo si impedirà che un'alta percentuale di pacchetti lasci la rete. L'utilizzo di uRPF o di sortite ACL sarà efficace.

• Il 12-08-03, Symantec ha rilasciato un aggiornamento per Symantec Gateway Security 1.0.
• La tecnologia dell'applicazione firewall di ispezione completa Symantec protegge contro questa vulnerabilità di Microsoft, bloccando le porte TCP elencate precedentemente per impostazione predefinita. Per ottenere la massima protezione, la tecnologia dell'applicazione firewall di ispezione completa di terza generazione blocca in modo intelligente i "tunnel" del traffico DCOM nei canali HTTP, fornendo così un livello di protezione aggiuntivo che non è disponibile sui firewall di rete più comuni.

• La tecnologia ManHunt Protocol Anomaly Detection Symantec rileva l'attività associata a questo exploit come "Portsweep". Benché ManHunt possa rilevare l'attività associata a questo exploit mediante la tecnologia Protocol Anomaly Detection, è possibile utilizzare la firma personalizzata "Microsoft DCOM RPC Buffer Overflow", rilasciata in Security Update 4, per identificare esattamente l'exploit inviato.
• Security Update 5 è stato rilasciato per fornire firme specifiche per W32.Blaster.Worm e per includere il rilevamento di più attributi di W32.Blaster.Worm.
• La tecnologia ManHunt Protocol Anomaly Detection Symantec rileva l'attività associata al flusso SYN DoS. Security Response ha creato una firma personalizzata per ManHunt 3.0, rilasciata in Security Update 6, per rilevare questo attacco specificamente come richiesta DDoS Blaster.

Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

• Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l’utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
• Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l’accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
• Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
• Imporre una politica severa sull’uso delle password. Password complesse rendono più difficoltoso l’accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
• Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
• Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all’interno della propria organizzazione. Eseguire un’analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
• Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l’allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un’infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.

1. Ripristino della connettività Internet.
2. Interruzione del processo del worm.
3. Come ottenere le definizioni dei virus più recenti.
4. Scansione e rimozione dei file infetti
5. Annullamento delle modifiche apportate al Registro di sistema
6. Come ottenere Microsoft HotFix per risolvere la vulnerabilità DCOM RPC.

1. Fare clic su Start > Esegui. Viene visualizzata la finestra di dialogo Esegui.
2. Digitare:
   
   SERVICES.MSC /S
   
   nella riga Apri, quindi fare clic su OK. La finestra Servizi si apre.
   
3. Nel riquadro destro, individuare il servizio Remote Procedure Call (RPC).
   
   

   ---

   ATTENZIONE: da non confondere con il servizio Remote Procedure Call (RPC) Locator.

   ---

   
   
4. Fare clic con il tasto destro sul servizio Remote Procedure Call (RPC), quindi fare clic su Proprietà.
5. Fare clic sulla scheda Recupero.
6. Utilizzando gli elenchi a discesa, cambiare Primo non riuscito, Secondo non riuscito e successivi in "Riavvia il servizio".
7. Fare clic su Applica, quindi su OK.

---

ATTENZIONE: assicurarsi di annullare queste modifiche alle impostazioni dopo l'eliminazione del worm.

---

1. Premere Ctrl+Alt+Canc una volta sola.
2. Selezionare Task Manager.
3. Fare clic sulla scheda Processi.
4. Per disporre le voci dell'elenco dei processi in ordine alfabetico, fare doppio clic sull'intestazione della colonna Nome immagine.
5. Scorrere l'elenco ed individuare Msblast.exe.
6. Se si trova il file, fare clic su di esso e poi su Termina processo.
7. Chiudere Task Manager.

Per nuovi utenti
Il metodo più semplice per ottenere le definizioni dei virus è tramite LiveUpdate. Le definizioni dei virus per W32.Blaster.worm sono state rese disponibili tramite il server LiveUpdate dall'11-08-03. Per ottenere le definizioni dei virus più recenti, fare clic sul pulsante LiveUpdate nell'interfaccia utente principale del prodotto Symantec. Quando si esegue LiveUpdate, assicurarsi che solo l'opzione "Definizioni dei virus di Norton AntiVirus" sia contrassegnata. È possibile ottenere gli aggiornamenti del prodotto in un momento successivo.

Per amministratori di sistema e utenti avanzati
Scaricare le definizioni mediante Intelligent Updater. Le definizioni dei virus per Intelligent Updater vengono pubblicate quotidianamente, nei giorni lavorativi statunitensi (dal lunedì al venerdì). Tali definizioni devono essere scaricate e installate manualmente dal sito Internet di Symantec Security Response. Per verificare se sono disponibili definizioni per Intelligent Updater contro tale minaccia, controllare la riga Definizioni dei virus (Intelligent Updater).

Le definizioni dei virus per Intelligent Updater sono disponibili qui. Per istruzioni precise sulla procedura da seguire, consultare il documento Come aggiornare i file delle definizioni dei virus mediante Intelligent Updater.

1. Avviare il proprio antivirus Symantec e accertarsi che sia configurato per sottoporre a scansione tutti i file.
   • Prodotti Norton AntiVirus consumer: consultare il documento Come configurare Norton AntiVirus per effettuare una scansione di tutti i file.
   • Prodotti Symantec antivirus Enterprise: Consultare il documento Come verificare che il prodotto antivirus Symantec corporate sia impostato per eseguire la scansione di tutti i file.
2. Eseguire una scansione completa del sistema.
3. Se vengono rilevati file infetti da W32.Blaster.Worm, fare clic su Elimina.

1. Fare clic su Start, quindi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
2. Digitare regedit
   
   Fare clic su OK. (Si apre l'Editor del Registro di sistema).
   
3. Individuare la chiave:
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
4. Eliminare il seguente valore nel riquadro di destra:
   
   windows auto update
   
5. Chiudere l'Editor del Registro di sistema.

Informazioni aggiuntive:

Informazioni aggiuntive e un sito alternativo da cui scaricare il patch Microsoft sono disponibili nell'articolo di Microsoft, "What You Should Know About the Blaster Worm and Its Variants."

Revisioni:

28-08-03
È stato aggiunto un collegamento con informazioni sul traffico di rete correlato a Blaster.
20.08.03:

Aggiunto un riferimento a Symantec Client Security.

Aggiunto un consiglio relativo alla limitazione dei danni provocati dall'attacco DoS.
Aggiunto un riferimento agli aggiornamenti per Symantec NetRecon e Symantec Vulnerability Assessment.
Aggiunto un collegamento a Symantec Webcast.
Ulteriori informazioni sugli aggiornamenti di Symantec ManHunt.

Consigli per la limitazione dei danni provocati dall'attacco DoS.
Aggiornate le informazioni sulla routine nociva DoS.
Aggiunte informazioni sul traffico DoS.

Riordinati i punti più importanti della sezione contenente le istruzioni di rimozione.
Aggiunte informazioni sulla posizione del download.
Piccoli aggiornamenti della formattazione.
Eliminate le istruzioni sul ripristino di sistema di Windows.

Aumentato il grado di pericolosità del worm dal livello 3 al 4, a causa di un significativo aumento delle richieste di assistenza.
Aggiunti alias.
Aggiornata la sezione Informazioni tecniche.
Aggiunte informazioni nella sezione Rimozione relative alla modifica delle impostazioni RPC.

Documento realizzato da: Douglas Knowles, Frederic Perriot, Peter Szor