Aiuto! Il computer si riavvia da solo

18 agosto 2003 La scorsa settimana, è iniziata
la massiccia diffusione del virus W32.Lovsan.Worm (altrimenti
detto W32.Blaster.Worm). Questo virus sfrutta una vulnerabilità
scoperta recentemente nei sistemi operativi Windows e relativa al servizio
RPC (Remote Procedure Call). L’infezione da parte del virus (o
comunque la sua azione da remoto) si manifesta con il susseguirsi – durante la
connessione Internet – di errori di sistema (NT AUTHORITY\SYSTEM)
relativi, appunto, al servizio RPC. Di solito il sistema viene automaticamente
riavviato.

Il virus Lovsan/Blaster sfrutta proprio la vulnerabilità del servizio RPC:
esso va infatti alla ricerca di sistemi vulnerabili (ossia sistemi Windows sui
quali non si è provveduto a installare la patch risolutiva Microsoft
MS03-026 rilasciata il 16 luglio scorso) effettuando una scansione casuale
di gruppi di indirizzi IP collegati ad Internet. Le porte interessate
dall’azione del virus sono TCP:135; TCP:4444 e UDP:69.

Una volta trovato
un sistema vulnerabile, il virus tenta di scaricare ed eseguire il file
MSBLAST.EXE. Ciò avviene attraverso l’apertura di una connessione UDP (porta 69)
utilizzando il protocollo TFT (Trivial File Transfer). Chi non ha
installato la patch risolutiva Microsoft, ma utilizza un buon software firewall,
si sarà certamente accorto di tentativi di connessione sulla porta UDP:69.

Per risolvere il problema potete comportarvi come segue:
– scaricate il
removal tool per il virus Lovsan/Blaster dal sito di
Symantec (165 KB)
– eseguite il file FixBlast.exe, appena
prelevato
– scaricate e installate la patch Microsoft MS03-026 per il
servizio RPC: sarete così al sicuro da ulteriori infezioni e risolverete
definitivamente il problema del riavvio automatico del personal computer.

Ci preme ricordare, comunque, che qualora il removal tool di Symantec non vi
abbia segnalato la presenza del virus Lovsan/Blaster ma il sistema si riavvia lo
stesso automaticamente, significa che il vostro personal computer non è
stato infettato ma che ha subìto un attacco remoto da parte di una macchina
“vittima” di questo virus worm.

Se utilizzate Windows XP, vi suggeriamo caldamente prima di eseguire il
removal tool di Symantec di disattivare il Ripristino della configurazione
di sistema (alias System Restore) altrimenti il programma per la
rimozione di Lovsan non avrà modo di eliminare il virus da tutte le cartelle.
Per disattivare l’utilità Ripristino della configurazione di sistema
fate clic con il tasto destro su Risorse del computer, selezionate la
scheda Ripristino della configurazione di sistema quindi
attivite la casella Disattiva ripristino della configurazione di
sistema su tutte le unità.

Lovsan/Blaster è un virus che, vista la sua immediata e vastissima
diffusione, ha cambiato nuovamente la concezione di virus worm così come esso
era sinora concepito. Dopo Nimda, virus che nel 2001 causò enormi danni a
livello mondiale (fu il primo virus a sfruttare in modo intensivo vulnerabilità
del sistema operativo), Blaster ha oggi spostato la sua azione anche sull’utenza
domestica e sulle realtà aziendali più piccole facendo riflettere tutti su come
sia diventato assolutamente indispensabile provvedere a un periodico
aggiornamento dei propri sistemi e, soprattutto, all’installazione della patch
di sicurezza.

Vi segnaliamo la diffusione di alcune varianti del virus Blaster che
sfruttano sempre la medesima vulnerabilità del servizio RPC.
Il removal tool
rilasciato di Symantec consente il riconoscimento e la rimozione di tutte le
varianti del virus attualmente consosciute
(W32.Blaster.worm, W32.Blaster.B.Worm, W32.Blaster.C.
Worm).

Da parte sua, Microsoft ha provvedutoa rilasciare un piccolo
software particolarmente indicato per gli
amministratori di rete: grazie a esso è possibile verificare su quali
personal computer è già stata installata la patch MS03-026 e su quali ancora
no.
Il tool (si chiama MS03-026 Scanning tool) è prelevabile gratuitamente
dal sito Microsoft.

www.ilsoftware.it

• Le categorie dei virus