Сеть будоражит очередной червь w32.Blaster.worm, эксплуатирующий уязвимость DCOM RPC, обнаруженную еще в июле, и имеющий крайне высокие темпы размножения. Данная уязвимость делает возможным заражение через порты 135, 139, 445, после чего на компьютере пострадавшего могут выполняться практически любые действия (от перезагрузки до исполнения произвольной программы).

Червь пытается проникнуть через порт 135 и в случае успеха закачивает себя программой TFTP.exe на атакованный компьютер, а затем сканирует сеть в поисках других жертв и продолжает распространение. 

Симптомы и признаки заражения:

• Ошибки вида

• Наличие в системе файла msblast.exe в папке Windows/System32/
• Наличие в списке задач указанного процесса.
• Наличе записи о нем в реестре по адресу  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run со значением "windows auto update"="msblast.exe.

Методы борьбы и предупреждение заражения:

• Если у вас установлен файрволл - закройте порты 135, 139 и 445 для доступа из интернета. 
• С этой страницы выберите установленную у вас версию Windows, на следующей странице выберете необходимый язык, скачайте и установите обновление. 
• Если вы все-таки успели заразиться, в дополнение к указанным действиям скачайте и запустите утилиту для удаления червя от Symantec или выполните следующие действия:
  • Завершите процесс msblast.exe.
  • Удалите файл msblast.exe из папки Windows/System32/.
  • Удалите записи о файле из реестра.
• Не забудьте перезагрузиться!

Быстрые ссылки:

• Патч для русской версии Windows 2000 (900 КБ)
• Патч для русской версии Windows XP (1262 КБ)
• Утилита для удаления вируса от Symentec (165 КБ)
• Инструкция по работе утилиты (англ).

При подготовке статьи использованы эти материалы.