Joku

Juuri tuo on se Virus joka tänään on levinnyt suomalaisiin koneisiin.

Asenna HETI aivan ensimmäiseksi MS03-026 Windows Updatesta päivitys 823980 joka on julkaistu jo 16.7.2003 juuri tuon viruksen koneelle pääsyn estämiseksi!

Tässä poistohjeet:
Ensimmäinen RPC-turvareikää hyödyntävä verkkomato liikkeellä

Asiantuntijat ennustavat sen leviävän hyvin laajalti
Helsinki, Finland - 12.8.2003


F-Secure varoittaa uudesta RPC-turvareikää hyödyntävästä madosta, joka tunnetaan nimillä Lovsan, Blaster tai Msblast. Mato leviää Windows-työasemien ja -palvelimien kautta MSBLAST.EXE -nimisenä tiedostona. Mato sisältää tuhorutiinin joka hyökkää windowsupdate.com -palvelua vastaan elokuun 16.päivänä 2003.

"Tietoturva-alalla on pelätty tällaista matoa siitä lähtien kun RPC/DOM -tietoturvareikä havaittiin 16.7.2003", kommentoi F-Securen virustentorjuntayksikön tutkimusjohtaja Mikko Hyppönen. "Nyt se on täällä", hän jatkaa.

F-Securen virustentorjuntayksikkö sai ensimmäisen näytteen Lovsan-madosta maanantaina 11.8.2003 kello 22.22 Suomen aikaa. Mato leviää 6176-tavun suuruisena MSBLAST.EXE -nimisenä tiedostona Windows 2000 ja Windows XP -käyttöjärjestelmissä ellei käyttöjärjestelmän turvapäivityksiä ole asennettu.

Mato etsii internetistä suojaamattomia koneita ja tartuttaa ne verkon yli. Mato jatkaa leviämistä jokaisesta saastuttamastaan koneesta. Tartunta tapahtuu niin, että koneen käyttäjä ei huomaa mitään tavallisuudesta poikkeavaa.

Lovesan-madon sisällä on seuraava piilotettu viesti:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

"Madolla näyttää olevan selvä hyökkäysrutiini", kommentoi Mikko Hyppönen. Lauantaina 16.8. mato aloittaa hajautetun palvelunestohyökkäyksen windowsupdate.com -palvelua vastaan. "Jos mato jatkaa nopeaa leviämistään, hyökkäys saattaa kaataa koko palvelun", Hyppönen jatkaa.

KYSYMYKSIÄ JA VASTAUKSIA LOVSAN-MADOSTA:

Kysymys: Millä muilla nimillä Lovsan tunnetaan?
Vastaus: Ainakin Msblast, Blaster, Poza, Posa ja Lovesan.

Kysymys: Mitä erikoista Lovean-madossa on?
Vastaus: Lovesan-mato leviää hyödyntäen MS03-026 DCOM/RPC –tietoturvareikää, joka on yksi maailman yleisimmistä tietoturvarei’istä tällä hetkellä.

Kysymys: Milloin mato löydettiin?
Vastaus: F-Securen virustentorjuntayksikkö sai ensimmäisen näytteen 11.8. kello 22:22 Suomen aikaa.

Kysymys: Kuinka mato leviää?
Vastaus: Jos suojaamaton kone kytketään internettiin, mato pääsee sisään TCP 135 –portista ja saastuttaa koneen turvareiän kautta. Käyttäjä ei huomaa saastumista.

Kysymys: Mitkä käyttöjärjestelmät ovat haavoittuvaisia?
Vastaus: Ainakin Windows 2000 ja Windows XP -käyttöjärjestelmät. Windows NT 4 ja Windows 2003 –järjestelmissä on sama turvareikä, mutta madon tämänhetkinen versio ei leviä niihin

Kysymys: Onko Microsoftilla olemassa tietoturvapäivitys?
Vastaus: Kyllä, se on ladattavissa osoitteesta: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

Kysymys: Kuinka laajasti mato voi levitä?
Vastaus: RPC-reikä voi löytyä jopa kymmenistä miljoonista tietokoneista. Vertailun vuoksi; Slammer-madolla oli mahdollisuus saastuttaa noin 100.000 SQL-serveriä ja Code Red –madolla noin 2 miljoonaa IIS wwww-palvelinta. Toisaalta palomuurit osittain suojaavat työasemia RPC-yhteyksiltä. Kysymys: Voiko mato levitä yrityksen sisäverkkoon, palomuurin taakse?
Vastaus: Kyllä, monella eri tavalla. Palomuuriasetuksissa saattaa olla vajavaisuuksia tai käyttäjät ottavat suojaamattomia yhteyksiä modeemin tai WLAN-verkon välityksellä. Lisäksi käyttäjä saattaa tuoda yritykseen saastuneen kannettavan tietokoneen ja kytkeä sen sisäverkkoon, jossa mato leviää kulovalkean tavoin. Kysymys: Tuleeko ko. madosta uusia versioita lähiaikoina?
Vastaus: Kyllä, todennäköisesti tulee.

Kysymys: Millaisia sähköpostiviestejä mato lähettää?
Vastaus: Ei minkäänlaisia. Lovsan ei ole sähköpostimato eikä siis koskaan lähetä viestejä.

Kysymys: Onko tämä hypernopea ns. Warhol-mato?
Vastaus: Ei, tämä mato ei käytä hitlist-tekniikkaa eikä se leviä yhtä nopeasti kuin UDP-pohjainen Slammer-mato helmikuussa 2003.

Kysymys: Vahingoittaako mato saastuttamaansa konetta?
Vastaus: Ei, mutta mato yrittää käyttää saastuneita koneita kaatamaan windowsupdate.com –palvelun 16.8. alkaen.

Kysymys: Mistä maasta mato on kotoisin?
Vastaus: Emme tiedä.

Kyseessä on mato, joka rupeaa sammuttelemaan konettasi, mutta ei onneksi tee muuta. Leviää Microsoftin XP ja 2000 -järjestelmiin niissä avoinna olevien porttien kautta, sinun ei siis tarvitse edes imuroida mitään.

Lisää tietoa ja poisto-ohjeita esim.
http://www.f-secure.com/v-descs/msblast.shtml

Täällä lisätietoa miten saat sen pois:

http://keskustelu.suomi24.fi/show.cgi?category=108&conference=1500000000000007&posting=22000000001006097

Virus joka esiintyy nimillä:
LOVSAN, MSBLAST.EXE ja W32.Blaster.
Vain jos Jos ei ole päivitetty Windows Updatesta päivitystä 823980 joka on julkaistu jo 16.7.2003
niin on melkoisen varmaa jotta saa tuon viruksen koneelleen.
Päivitä välittömästi em. päivitys ellet ole sitä asentanut!

Näin saat poistettua jos em. päivitystä ei ollut koneellasi:


Poista msblast.exe -tiedosto

Poista käyttöjärjestelmän rekisterieditorilla HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun arvo "windows auto update"="msblast.exe"

Käynnistä järjestelmä uudelleen
Suorita virus skannaus ajantasaisella virustorjuntaohjelmistolla.

..kasiainen, mut se on kuollu :(