Širi se virus MSBlast

V ponedeljek je začel svojo epidemijo v računalniškem svetu virus z imenom MSBlast (znan tudi kot W32.Blaster ali W32/LuvSan), ki izkorišča v juliju objavljeno varnostno luknjo RPC v OS Windows. Računalniki z MacOS, Linuxom in Unixom so na virus zaenkrat imuni.

V ponedeljek popoldan je virus okužil prvih 7000 računalnikov, pravijo v podjetju Symantec in trdijo, da bi lahko bila katastrofa še večja, če bi bil virus programiran nekoliko bolj spretno: >>Virusna okužba zagotovo ne bo tako obsežna kot pri črvu Slammer, presegla pa bo Code Red.<< Tudi virus Code Red se je leta 2001 sprva širil zelo počasi, a kmalu so ga nepridipravi >>popravili<< in grožnja je postala bistveno resnejša - to se bo morda zgodilo tudi z virusom MSBlast.

Virus izkorišča nedavno odkrito luknjo v funkciji RPC (Remote Procedure Call) za uporabo oddaljenih datotečnih sistemov in tiskalnikov v OS Windows, ki so jo Microsoftovi inženirji popravili že sredi julija - le da si večina uporabnikov še ni namestila popravka. 16. avgusta naj bi vsi nezavarovani računalniki, ki jih je ali bo okužil MBlast - začeli onemogočati spletno stran Microsoft Windows Update. Torej naj bi se zgodil tipičen razpršeni napad za onemogočanje storitev (DDoS), da uporabniki OS Windows ne bodo več mogli posodabljati svojega OS in vanj prenašati popravkov, ki jih daje na voljo Microsoft.

Virus se širi v datoteki z imenom msblast.exe, dolgi 6176 bajtov. V računalniku požene ukazno školjko in se preko enostavnega datotečnega protokola TFTP poveže z drugimi okuženimi sistemi, da prenese kodo programa. Preverja naključne internetne naslove z vrati 135, računalnike okuži in se tako razmnožuje še naprej.

Črv ima programirani tudi dve sporočili. Prvo nagovarja ustanovitelja" Microsofta, Billa Gatesa, ki mu avtorji svetujejo, naj neha služiti denar in končno popravi vse luknje v operacijskem sistemu: >>billy gates why do you make this possible? Stop making money and fix your software!!<< Drugo sporočilo je klasičen virusni pozdrav neki osebi.

Administratorji omrežij bodo lahko širjenje enostavno preprečili, če bodo zaprli vrata 135 - in po možnosti še 136, 137, 138 in 139 ter 445 in 593 - ter poiskali izvor pošiljanja nevarnih paketkov. Ker virus uporablja tudi vrata TCP 4444 in UDP 69 za prenos kode jih je potrebno nadzirati, obenem pa naj namestijo v računalnike vse razpoložljive popravke.

Microsoftov popravek je na voljo na naslovu http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp .