etechs.it
Layer 06
etechs.it
Varie

Rimuovere il virus blaster

di |Pubblicato

**********
Il sistema sta per essere arrestato. Salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche non salvate andranno perse. Il processo è iniziato da NT Authority System. Riavvio fra [40…39…38…] secondi.
Messaggio: E’ necessario riavviare Windows poiché il servizio Remote Procedure Call è terminato in maniera imprevista
**********

Questo il messaggio che appare quando siete stati infettati da w32.blaster, il nuovo worm che sta investendo internet e le macchine ad esso collegate.
Innanzi tutto chi può essere la vittima: possessori di Win NT 4.0 server e terminal services, win 2000 sia professional che server in tutte le sue versioni, XP e 2003 server in tutte le sue versioni (a parte la lite ma non ho modo di verificare).

Il nome del virus è Blaster o MSBlaster, il computer che ne è infetto ha come unico sintomo per ora il riavvio dopo un minuto di connessione ad internet con il messaggio sopracitato.

E’ abbastanza semplice toglierlo, basta andare sul task manager e tra i vari processi attivi selezionare mblast.exe, clickare su termina task e quindi su termina adesso.

A questo punto dopo averlo rimosso dalla memoria basta andare su start trova file o cartelle e cercare il file "*blast.ex* e cancellare tutti i file trovati. In questo modo viene fisicamente tolto dal disco.

Rimane solo rimuoverlo dal registro di sistema, infatti viene installato come la maggiorparte dei virus nella cartella riportata di seguito per assicurarsi l’avvio automatico alla riaccensione della macchina:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Fatto questo dobbiamo munirci della patch di Microsoft disponibile ormai da quasi un mese e poi installarla, la patch è di circa un mega dipendente dal sistema operativo, Questa patch si preoccupa solo di togliere la vulnerabilità dal servizio di RPC (Remote Procedure Call). Da questo indirizzo è possibile scaricare la patch del vostro sistema operativo:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-026.asp

ATTENZIONE!: Tutta l’operazione va fatta ovviamente off-line, in caso contrario è possibile rimanere infettati di nuovo.

]]>

Potrebbe anche interessarti