Da ieri 11 Agosto, è iniziata la massiccia diffusione del virus W32.Lovsan.Worm (altrimenti detto W32.Blaster.Worm).
Questo virus sfrutta una vulnerabilità scoperta recentemente nei sistemi operativi Windows e relativa al servizio RPC (Remote Procedure Call). Nelle scorse settimane avevamo già avuto modo di segnalarvi il problema (ved. questa nostra news) e di invitarvi alla tempestiva installazione della patch risolutiva (ved. questa news).
L’infezione da parte del virus (o comunque la sua azione da remoto) si manifesta con il susseguirsi – durante la connessione Internet – di errori di sistema (NT AUTHORITYSYSTEM) relativi, appunto, al servizio RPC (Remote Procedure Call). Di solito il sistema viene automaticamente riavviato.
Il virus Lovsan, sfrutta proprio la vulnerabilità del servizio RPC: esso va infatti alla ricerca di sistemi vulnerabili (ossia sistemi Windows sui quali non si è provveduto ad installare la patch risolutiva Microsoft rilasciata il 16 Luglio scorso) effettuando una scansione casuale di gruppi di indirizzi IP collegati ad Internet.
Le porte interessate dall’azione del virus sono TCP:135; TCP:4444 e UDP:69.
Una volta trovato un sistema vulnerabile, il virus tenta di scaricare ed eseguire il file MSBLAST.EXE. Ciò avviene attraverso l’apertura di una connessione UDP (porta 69) utilizzando il protocollo TFT (Trivial File Transfer protocol).
Chi non ha installato la patch risolutiva Microsoft MS03-026 ma ha avuto l’accortezza di installare un buon software firewall (ad esempio, Outpost Firewall), si sarà certamente accorto di tentativi di connessione sulla porta UDP:69.
Per risolvere il problema comportatevi come segue:
– scaricate il removal tool di Symantec per il virus Lovsan (W32.Blaster) cliccando qui (165 KB)
– eseguite il file FixBlast.exe, appena prelevato
– scaricate ed installate la patch Microsoft MS03-026 per il servizio RPC: sarete così al sicuro da ulteriori infezioni e risolverete definitivamente il problema del riavvio automatico del personal computer. La patch Microsoft è prelevabile da questa pagina. Scorrete la pagina fino a trovare il paragrafo Patch availability quindi provvedete a scaricare la patch per la versione di Windows in uso. Assicuratevi, inoltre, di selezionare la lingua italiana (Italian) se fate uso di una versione di Windows italiana.
Ci preme ricordare, comunque, che qualora il removal tool di Symantec non vi abbia segnalato la presenza del virus Lovsan (W32.Blaster) ma il vostro sistema si riavvii automaticamente, significa che il vostro personal computer non è stato infettato ma che ha subìto un attacco remoto da parte di una macchina “vittima” di questo virus worm.
Se utilizzate Windows XP, vi suggeriamo caldamente prima di eseguire il removal tool di Symantec di disattivare il Ripristino della configurazione di sistema (alias System Restore) altrimenti il programma per la rimozione di Lovsan non avrà modo di eliminare il virus da tutte le cartelle. Per disattivare l’utlità Ripristino della configurazione di sistema fate clic con il tasto destro su Risorse del computer, selezionate la scheda Ripristino della configurazione di sistema quindi attivite la casella Disattiva ripristino della configurazione di sistema su tutte le unità.
Per maggiori informazioni, fate riferimento ai link seguenti:
– descrizione del removal tool Symantec per il virus Lovsan (W32.Blaster)
– cliccando qui potete controllare (sul sito di Steve Gibson) se la porta 135 (la porta principale usata dal virus per diffondersi) risulta aperta (dovrebbe invece risultare Closed o – meglio ancora – Stealth).