15/08-03   -   Pressmeddelande

Blaster kaos ta ner Windows Update

I skrivande stund ligger Windows Update nere. EuroTrust Virus112 kan inte entydigt bekräfta att det beror på Blaster. Microsoft.com har kommit upp ca. kl.10 efter att ha legat nere sedan kl.01 i natt. Orsaken till att siten är nere är okänd. Windowsupdate.com används som standard av bland annat Windows XP och 2000 för automatisk uppdatering av operativsystemet via Windowsupdate funktion.

Blaster innehåller en payload vilken inleder ett Distribueret Denial of Service angrepp mot websiten windowsupdate.com. Masken är programmerad att inleda detta angrepp när datumet passerar 03-08-16 på den lokala datorn.

- Vi har mottagit uppgifter och rapporter om verksamheter som upplever att stora mängder datapaket försöker lämna deras nätverk som är infekterade med Blaster. Vi misstänker att det handlar om payloaden från Blaster. Vidare är Blaster kodad så att masken först aktiverar payloaden vid första omstarten efter att det lokala systemdatumet har rundat den 16:e augusti. Det massiva strömavbrottet kan ha medverkat till att aktivera payloaden tidigare. Detta kan dock inte heller bekräftas, säger Peter Kruse, säkerhertsexpert hos EuroTrust Virus112.

Så tar Du bort Blaster
Många användare klagar över att masken inte kan tas bort, eftersom deras system automatiskt omstarts genom ett SVCHOST fel. Om det är problemet kan maskinen tvingas att vara aktiv genom att använda följande kommando:

Gå til start -> kör -> cmd [enter] –> shutdown –a [enter]

Det kommer att förhindra en omstart av systemet. På så sätt vinner man tid för att hämta nödvändiga uppdateringar. Dessvärre medför detta också att masken fortsätter att kopiera sig själv till andra system medan man hämtar uppdateringen. Därför kan det vara en fördel att hämta ner uppdateringen och lägga den på diskett. På det sättet kan man koppla bort datorer som riskerar att smittas, medan Du kör uppdateringen och tar fort Blaster med de många patchar som släppts för att ta bort Blaster.

En vägledning:

1) Opdatera Windows med RPC Patchen

Använd följande adress::
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp och ladda ner Patchen till valt Operativsystem. Var noga med att välja rätt språkversion. Om Patcharna inte kan hämtas hos Microsoft kan man använda alternativet download.com hos CNet på adressen: (bara ängelska patchar). http://download.com.com/3150-2092-0.html?qt=msblastcoll&tag=tid. Kör denna på systemet. En omstart kan bli nödvändig.

2) Alternativt ta bort Blaster från systemet genom att hämta EuroTrust Virus112 Blaster Fix på följande adress:
http://www.virus112.com/index.php?page=w32blasterworm