O Laboratório de Vírus da Panda Software detectou o aparecimento do novo vírus Blaster (W32/Blaster), desenhado para explorar uma vulnerabilidade recentemente descoberta em algumas versões do sistema operacional Windows. Em apenas algumas horas, o vírus tem se espalhado e infectado milhões de computadores em todo o mundo e já está no topo do ranking dos vírus mais detectados, segundo a solução gratuita e online Panda ActiveScan.
O Blaster não se propaga através dos meios habituais, mas circula na Internet em busca de máquinas que podem ser atacadas. Uma vez encontrada, ele entra no sistema por meio da porta de comunicação 135, com o objetivo de provocar um ?buffer overflow?. Um dos sintomas mais significativos que podem indicar uma infecção é o aumento notável de atividades nesta porta.
Ao instalar-se no equipamento, o Blaster realiza um exame das extensões IP da rede, com o objetivo de encontrar outros computadores vulneráveis a ataques. Além disso, ele cria no sistema um arquivo denominado msblast.exe, o qual contém o código do vírus. Ao mesmo tempo, ele gera uma chave no registro do Windows para assegurar sua execução cada vez que a máquina for reiniciada.
No entanto, o principal objetivo do Blaster é infectar o maior número de máquinas possíveis com a finalidade de realizar um ataque de negação de serviço (DOS) sobre o site www.windowsupdate.com. Ele está programado para ser ativado no próximo dia 15 de agosto.
A mencionada vulnerabilidade do Windows, denominada RPC DCOM, que consiste em um transbordamento do buffer na interface RPC, tem sido qualificada como crítica pela própria Microsoft. Ela afeta as versões NT 4.0, 2000, XP e Windows Server 2003. Esse problema de segurança pode permitir aos hackers o controle dos equipamentos remotamente. Para evitar possíveis ataques, a Panda Software aconselha tanto os administradores de rede, gerentes de TI (Tecnologia da Informação) como os usuários domésticos, a instalação imediata de patches disponibilizados pela Microsoft para corrigir a vulnerabilidade. Para fazer o donwload basta acessar o seguinte link: http://www.microsoft.com/security/security_bulletins/ms03-026.asp.
A Panda Software já disponibilizou a solução PQREMOVE, uma aplicação designada e detectar e elimar o Blaster e reparar os danos que ele possa causar aos computadores (http://www.pandasoftware.com/download/utilities/). A desenvolvedora de antivírus também disponibiliza o Panda ActiveScan, uma solução online e gratuita, que possibilita a análise do sistema.
É aconselhável atualização das soluções de antivívus. A Panda Software colocou à disposição de seus clientes as correspondentes atualizações de seus produtos para detecção do Blaster, para aqueles que não tem o software configurado para realizá-lo automaticamente, pode acessar o endereço www.virusportal.com
SYMANTEC
A Symantec também divulgou um alerta a seus usuários sobre o novo vírus Blaster.Worm. Descoberto ontem, o worm acaba de ser classificado como ameaça de nível 4, em uma escala que varia de 1 a 5. A nova praga chega ao PC por meio de uma vulnerabilidade do DCOM RPC no sistema operacional Windows e utiliza a porta TCP 135.
O vírus tenta fazer o download e rodar o arquivo ?msblast.exe?. Quando o W32.Blaster.Worm é executado, ele adiona o valor ?windows auto update?=?mblast.exe? para registrar a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. O worm é instalado quando o Windows é iniciado.
De acordo com os técnicos da Symantec, o vírus prejudica a comunicação de rede e causa instabilidade no sistema operacional, além de perigo de bug na máquina. A empresa já registrou um volume de 1.851 submissões ao centro de respostas em todo o mundo.
A Symantec já disponibilizou a ferramenta de remoção para o worm:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
A vacina para o vírus pode ser acessada por usuários de produtos Symantec no endereço:
http://securityresponse.symantec.com/avcenter/defs.download.html
Informações detalhadas sobre o Blaster.Worm, em inglês, no link:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html