Predialnet Knowledge Base - 013



Infecção pelo vírus Gaobot.DQ



Sumário:

Uma falha nativa dos sistemas baseados no Windows NT permite que o vírus infecte o computador do cliente, causando lentidão na máquina do cliente, sobrecarregando a rede ao tentar infectar outras máquinas e podendo ocasionar paradas no Ping do Rádio como vcocê pode ver nesta figura clicando aqui.

Sintomas:

- Lentidão na máquina do cliente;

- Congestionamento na rede do prédio;

- Parada total do rádio do prédio enquanto o cliente permanecer com o computador ligado.

- Verificando o tráfego na rede do prédio, percebe-se muitas conexões vindas do ponto do cliente infectado para vários destinos iguais, usando sempre a mesma porta 80, como pode ser visto nesta figura.

Causas:

O Vírus, na verdade um worm, explora uma vulnerabilidade do serviço DCOM RPC do Windows (relatada no Boletim de Segurança da Microsoft MS03-026), usando a porta TCP 135.

O worm tem como alvo apenas máquinas com os sistemas Windows 2000 e Windows XP. Máquinas com Windows NT e Windows 2003 também podem ser infectadas, mas o worm não se replica nestes sistemas.

É justamente neste processo do vírus se replicar, em sistemas Windows 2000 e Windows XP, que ele gera um grande tráfego na rede.

Solução:

É necessário passar algum tipo de anti-vírus para remover o worm, e depois de tê-lo removido, é necessário atualizar o sistema operacional, para corrigir a falha do serviço RPC, e assim impedir que o sistema possa ser infectado novamente.


Anti-vírus

Os anti-vírus online listados abaixo são ferramentas disponibilizadas gratuitamente na web. Com elas o usuário pode scanear o computador de maneira rápida e fácil. E com a garantia de que os anti-vírus estarão sempre atualizados.

http://www.pandasoftware.com/

http://www.trend.com/

http://www3.ca.com/virusinfo/

http://www.rav.ro/

Caso deseje visualizar os procedimentos passo a passo de utilização desses anti-vírus online, clique aqui.


Outra ferramenta, desenvolvida pela Symantec, especificamente para remover este worm, é o Fixblast.


Atualizações (Patches)

Windows 2000 SP3 (Em sistemas Windows 2000 é necessária a instalação do SP3 antes da instalação do patch).

Patch para Windows 2000 Português

Patch para Windows 2000 Inglês


Patch para Windows XP Português

Patch para Windows XP Inglês


Patch para Windows 2003 Português

Patch para Windows 2003 Inglês

Mais informações:

Boletim de Segurança Microsoft - Worm Blaster

Symantec Security Response - W32.Blaster.Worm



Este KB se aplica a: Clientes usando sistemas Windows NT, Windows 2000, Windows XP e Windows 2003 server. ::: Última revisão: 03/02/2004.