Проявление.
Для пользователя
проявление этого вируса выражается в том, что через некоторое время появляется сообщение
об ошибке "Windows must now restart because the Remote Procedure Call (RPC) service terminated unexpectedly". Через минуту происходит
автоматическая перезагрузка системы.
Данный вирус,
называемый также LoveSan, использует уязвимость в Microsoft-реализации технологии RPC. Переполнение буфера интерфейса
RPC позволяет запуск кода
на удаленной машине.
Удаление
вируса.
Используя диспетчер задач (Task Manager), завершите процесс msblast, и удалите файл msblast.exe из windowssystem32.
Используйте патч, ссылки на который
имеются в Microsoft Security Bulletin
MS03-026.
Как все это было.
Мы хотели бы
рассказать Вам немного больше, чем публикуется в информационных изданиях:
Microsoft так описывает реализацию протокола RPC – "протокол, используемый
операционной системой Windows для осуществления коммуникационного механизма между
процессами, позволяющего программам, выполняющимся на одном компьютере,
запускать код на удаленных системах. Протокол основан на открытом
протоколе RPC (Open Software Foundation RPC), но с некоторыми специальными
расширениями, добавленными Microsoft".
Но в Microsoft-реализации протокола RPC была обнаружена уязвимость,
позволяющая запускать процессы на удаленной системе при переполнении буфера.
Данная уязвимость была обнаружена специалистами
компании The Last Stage of Delirium
Research Group и описана в
Microsoft Security Bulletin
MS03-026.
Уязвимость была
официально подтверждена 16 июля 2003г.
Приведем цитату
из MS03-026:
There is a vulnerability in the part of
RPC that deals with message exchange
over TCP/IP. The failure results because of incorrect
handling of malformed messages. This particular vulnerability affects a Distributed Component
Object Model (DCOM) interface with RPC, which listens on
TCP/IP port 135. This interface handles DCOM object
activation requests that are sent by client machines (such as Universal Naming
Convention (UNC) paths) to the server.
Существует
уязвимость в части RPC, которая связана с обменом сообщениями по TCP/IP. Ошибка
происходит в результате неверной обработки посланных сообщений. Эта частичная уязвимость оказывает влияние на интерфейс DCOM (Distributed Component Object Model), доступный через
TCP/IP порт 135. Данный интерфейс отвечает за запросы активации DCOM объекта,
которые посылаются машинами-клиентами серверу.
Что это
позволяет?
Удаленный
компьютер может задействовать эту уязвимость для запуска кода с привилегиями
системы или вызвать отказ системы в обслуживании - DOS (Denial of Service).
Методы защиты.
Используйте патч Microsoft для исправления этой уязвимости, описанный в MS03-026. Этот патч также входит в Windows Update.
Также Вы можете
заблокировать доступ извне к вашему компьютеру или подсети, запретив доступ к TCP и UDP портам 135, 139, и
445.
Вы можете отключить DCOM как описано в MS03-026. Отключение DCOM поможет защититься от
этой уязвимости, но может оказать влияние на работу других компонентов системы.
Дополнительная информация содержится в Microsoft
Knowledge Base, в статье 825750.
Ilya A. Zimnovich
