15/08-03   -   Pressemeldinger

Blaster kaos slår ut Windows Update

I skrivende stund er windowsupdate.com nede. På nåværende tidspunkt kan EuroTrust Virus112 ikke bekrefte at nedetiden skyldes Blaster. Microsoft.com kom opp kl.10 etter å ha vært nede siden kl.01 i natt. Årsaken til nedbruddet er foreløpig ikke kjent. Windowsupdate.com brukes som standard av blant annet Windows XP og 2000 til automatisk oppdatering av styresystemet via den innbygde Windowsupdate funksjonen.

Blaster inneholder en såkalt payload, som innleder et Distribueret Denial of Service angrep mot websiden windowsupdate.com. Ormen er kodet til å innlede angrep, når datoen på den lokale pc runder 16. august.

- Vi har mottatt rapporteringer fra bedrifter som opplever spoofede datapakker, som forsøker å forlade lokale nettverk fra maskiner, som er infisert med Blaster. Vi antar at det er snakk om payloaden fra Blaster. Videre er Blaster kodet på den måten, at ormen først aktiverer payloaden ved første gjenstart etter at den lokale systemdatoen har rundet 16. august. Den massive strømsvikten i USA kan ha medvirket til å aktivere payloaden tidligere enn ventet. Dette kan dog heller ikke bekreftes, siger sikkerhetseksperten Peter Kruse fra EuroTrust Virus112.

Slik fjerner du Blaster
Mange brukere klager over at ormen ikke kan fjernes, fordi systemet automatisk gjenstarter med en SVCHOST feil. Dersom dette er problemet, kan maskinen tvinges til oppetid ved å bruke følgende kommando:

Gå til start -> kjør -> cmd [enter] –> shutdown –a [enter]

Dette vil forhindre systemet i å gjenstarte. På denne måten får du tid til å hente den nødvendige oppdateringen. Dessverre er sideeffekten, at ormen fortsatt forsøker å kopiere seg selv videre til andre systemer, mens du henter oppdateringen. Det kan dermed være en fordel å hente oppdateringen og gjemme den på en diskett. På denne måten kan du koble berørte maskiner fra internett, mens du kjører oppdateringen og fjerner Blaster med patchene som er frigitt. Se veiledningen nedenfor for anvisning til fix, som kan fjerne Blaster ormen.

1) Oppdater Windows med RPC feilrettelsen

Benytt følgende adresse:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp og hent rettelsen til det korrekte system. Vær oppmerksom på å hente korrekt språkversjon. Hvis feilrettelsen ikke kan hentes fra Microsoft kan man alternativt bruke download.com hos CNet. Engelske oppdateringer ligger på følgende adresse: http://download.com.com/3150-2092-0.html?qt=msblastcoll&tag=tid. Denne skal kjøres på systemet. En gjenstart kan være nødvendig.

2) Fjern Blaster fra maskinen ved å hente EuroTrust Virus112 Blaster Fix på følgende adresse:
http://www.virus112.com/index.php?page=w32blasterworm