Predialnet Knowledge Base - 001



Infecção pelo vírus Blaster



Sumário:

Uma falha nativa dos sistemas baseados no Windows NT permite que o vírus infecte o computador do cliente, causando lentidão na máquina do cliente e sobrecarregando a rede ao tentar infectar outras máquinas.

Sintomas:

- Lentidão na máquina do cliente;

- Em alguns casos, ocorre a exibição de uma mensagem de erro:

DESLIGAMENTO DO SISTEMA

O sistema está sendo desligado. Salve os trabalhos em andamento e faça logoff. As alterações não salvas serão perdidas. Esta operação foi iniciada por AUTORIDADE NT/SYSTEM

Tempo até o desligamento: 00:00:59

O Windows deve ser reiniciado agora porque o serviço Chamada de procedimento remoto (RPC) terminou de forma inesperada.

- Congestionamento na rede do prédio;

- Verificando o tráfego na rede do prédio, percebe-se muitas conexões vindas do ponto do cliente infectado para vários destinos diferentes, usando sempre a mesma porta 135, como pode ser visto nesta figura.

Causas:

O Vírus, na verdade um worm, explora uma vulnerabilidade do serviço DCOM RPC do Windows (relatada no Boletim de Segurança da Microsoft MS03-026), usando a porta TCP 135.

O worm tem como alvo apenas máquinas com os sistemas Windows 2000 e Windows XP. Máquinas com Windows NT e Windows 2003 também podem ser infectadas, mas o worm não se replica nestes sistemas.

É justamente neste processo do vírus se replicar, em sistemas Windows 2000 e Windows XP, que ele gera um grande tráfego na rede.

Solução:

É necessário passar algum tipo de anti-vírus para remover o worm, e depois de tê-lo removido, é necessário atualizar o sistema operacional, para corrigir a falha do serviço RPC, e assim impedir que o sistema possa ser infectado novamente.


Anti-vírus

Os anti-vírus online listados abaixo são ferramentas disponibilizadas gratuitamente na web. Com elas o usuário pode scanear o computador de maneira rápida e fácil. E com a garantia de que os anti-vírus estarão sempre atualizados.

http://www.pandasoftware.com/

http://www.trend.com/

http://www3.ca.com/virusinfo/

http://www.rav.ro/

Caso deseje visualizar os procedimentos passo a passo de utilização desses anti-vírus online, clique aqui.


Outra ferramenta, desenvolvida pela Symantec, especificamente para remover este worm, é o Fixblast.


Atualizações (Patches)

Windows 2000 SP3 (Em sistemas Windows 2000 é necessária a instalação do SP3 antes da instalação do patch).

Patch para Windows 2000 Português

Patch para Windows 2000 Inglês


Patch para Windows XP Português

Patch para Windows XP Inglês


Patch para Windows 2003 Português

Patch para Windows 2003 Inglês

Mais informações:

Boletim de Segurança Microsoft - Worm Blaster

Symantec Security Response - W32.Blaster.Worm



Este KB se aplica a: Clientes usando sistemas Windows NT, Windows 2000, Windows XP e Windows 2003 server. ::: Última revisão: 03/02/2004.