In questa sezione

• Home
• Supporto
• Rimozione virus

Supporto online

• Supporto
• Knowledge base
• Rimozione virus

Manutenzione prodotti

• Download e aggiornamenti
• Centro upgrade
• Documentazione
• Ciclo di vita del software

Contattate il supporto tecnico

• Contattate gli esperti
• Inviate un campione
• Inviate un'e-mail

Servizi di supporto

• Panoramica
• Supporto tecnico
• Servizi professionali
• Formazione tecnica

Risorse

• Endpoint
• Cifratura
• E-mail
• Web
• Small Business Solutions

• 
• 

Istruzioni per la disinfezione e domande frequenti su W32/Blaster-A

In questo momento, W32/Blaster-A (conosciuto anche come W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A) si sta diffondendo "in the wild".W32/Blaster-A è un worm che esegue la scansione delle reti alla ricerca di computer su cui è possibile sfruttare la vulnerabilità della protezione DCOM RPC di Microsoft. Identificando un bersaglio, il worm induce il computer remoto ad acquisirne una copia utilizzando TFTP, salvato come msblast.exe nella cartella di sistema di Windows.

1. Come posso evitare che W32/Blaster-A si diffonda nella rete?
2. Come posso rimuovere automaticamente W32/Blaster-A?
3. Come posso rimuovere manualmente W32/Blaster-A?
4. Quali sistemi sono interessati?
5. Come è stato infettato il mio computer?
6. Il computer si riavvia continuamente, come posso scaricare RESOLVE?
7. Perché si verificano degli errori associati a SVCHOST.EXE anche se il computer non è stato infettato da W32/Blaster-A?
8. Perché InterCheck impedisce a RESOLVE di avviarsi?
9. Non riesco a trovare la patch di Microsoft. Esiste una procedura più semplice al riguardo?

1. Come posso evitare che W32/Blaster-A si diffonda nella rete?

Si consiglia vivamente agli amministratori di rete di eseguire le seguenti operazioni per limitare l'impatto del worm:

• Scaricare e distribuire la patch di Microsoft MS03-039
  W32/Blaster-A sfrutta una vulnerabilità per la quale è possibile eseguire una patch. Per ulteriori informazioni sulla vulnerabilità e il download della patch da distribuire, vedere il Bollettino Microsoft sulla sicurezza MS03-039. Aggiornare i computer autonomi con tutte le relative patch di protezione di Windows Update.
  Si consiglia agli amministratori di distribuire la patch alle workstation con abilitazione Internet e alle reti aziendali interne, prestando particolare attenzione ai computer proxy/gateway.
• Rinominare tftp.exe
  Il worm utilizza tftp.exe, un programma nativo di Windows. Se tftp.exe è presente sulla rete e l'azienda non se ne serve, rinominarlo (ad es. tftp-exe.old). Non eliminarlo, in quando futuri software legittimi potrebbero richiederlo.
• Bloccare il traffico su determinate porte del firewall
  Gli amministratori devono bloccare il traffico in entrata sulle seguenti porte:
  • tcp/69 (utilizzata dal processo TFTP)
  • tcp/135 (utilizzata dall'accesso remoto RPC)
  • tcp/4444 (utilizzata da questo worm per connettersi)
  Questa procedura dovrebbe essere principalmente applicata al firewall Internet.Se necessario, bloccare queste porte anche per impedire l'accesso attraverso reti non attendibili potenzialmente infette.

2. Come posso rimuovere automaticamente W32/Blaster-A?

Resolve è il nome di un set di piccole utilità Sophos scaricabili il cui scopo è rimuovere e annullare le modifiche apportate da determinati virus, cavalli di Troia e worm. Terminano qualsiasi processo virus e reimpostano le chiavi di registro predefinite che sono state modificate dal virus. Le infezioni esistenti possono essere rimosse facilmente e rapidamente, sia su workstation individuali sia su reti composte da numerosi computer.

W32/Blaster-A può essere rimosso automaticamente dai computer Windows 95/98/Me e Windows NT/2000/XP/2003 con i seguenti strumenti Resolve.

Nota: Quando si rimuovono varianti non presenti nell'elenco precedente, utilizzare le istruzioni di ripristino della relativa analisi virus.

Disinfezione di Windows

BLASTGUI è un programma di disinfezione per computer Windows autonomi

• aprire BLASTGUI
• avviare l'applicazione
• quindi cliccare su GO (vai).

Se si stanno disinfettando più computer, scaricare l'applicazione, salvarla su un disco floppy e avviarla da questa posizione.

Una volta rimosso il worm, è necessario installare la patch citata in precedenza.

Disinfezione della riga di comando

BLASTSFX è un archivio autoestraente contenente BLASTCLI, un programma Resolve di disinfezione della riga di comando che possono utilizzare gli amministratori di sistema delle reti Windows. Leggere le note all'interno dell'autoestraente per informazioni sull'esecuzione del programma.

Una volta rimosso il worm è necessario installare la patch citata in precedenza.

Altre piattaforme

Per rimuovere W32/Blaster-A da altre piattaforme, seguire le istruzioni per la rimozione dei worm.

3. Come posso rimuovere manualmente W32/Blaster-A?

Per rimuovere manualmente W32/Blaster-A da Windows 95/98/Me e Windows NT/2000/XP:

• assicurarsi di aver installato la patch Microsoft MS03-039 e di aver eseguito il maggior numero possibile di passaggi citati in precedenza.
• premere Ctrl+Alt+Canc
• in Windows NT/2000/XP cliccare su Task Manager e selezionare la scheda Processi
• cercare nell'elenco un processo chiamato msblast.exe
• cliccare sul processo per evidenziarlo
• cliccare sul pulsante "Termina processo" ("Termina operazione" in Windows 95/98/Me)
• chiudere Task Manager.

Cercare il file msblast.exe nella cartella di sistema di Windows (di solito una sottocartella di Windows o WINNT) ed eliminarlo.

In Windows NT/2000/XP sarà inoltre necessario modificare la seguente voce di registro. La rimozione di questa voce è facoltativa in Windows 95/98/Me. Leggere l'avviso relativo alla modifica del registro.

• Sulla barra delle applicazioni, cliccare su Avvia|Esegui. Digitare "Regedit" e premere Invio. Sarà visualizzato l'Editor del Registro di sistema.
• Prima di modificare il registro, eseguire un backup. In caso di dubbio, contattare l'amministratore di rete. Modifiche errate al Registro di Windows possono causare malfunzionamenti del sistema.
• Individuare la voce HKEY_LOCAL_MACHINE:

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  nel riquadro a destra selezionare

  windows auto update = msblast.exe

  ed eliminarlo se presente.
• Chiudere l'Editor del Registro di sistema.

È necessario riavviare il computer e ripetere il processo precedente per assicurarsi che tutte le tracce del worm siano state rimosse dal sistema.

Se si incontrano difficoltà nella rimozione di W32/Blaster-A seguendo queste istruzioni, contattare il Supporto tecnico.

Per rimuovere W32/Blaster-A da altre piattaforme, seguire le istruzioni per la rimozione dei worm.

4. Quali sistemi sono interessati?

• I computer Windows NT/2000/XP sono vulnerabili.
• I computer Windows 95/98/Me possono essere infettati se un file W32/Blaster-A viene eseguito manualmente.
• Le workstation basate su Apple, Unix e le altre piattaforme (inclusi i palmari e le console per i giochi) non possono essere infettate da W32/Blaster-A.

Se su un computer viene rilevato un file W32/Blaster-A, è stato trasmesso da un altro computer infetto o è stato eseguito in locale.

5. Come è stato infettato il mio computer?

W32/Blaster-A esegue la scansione di Internet e delle reti locali alla ricerca di computer su cui è possibile sfruttare la vulnerabilità della protezione DCOM RPC di Microsoft. Quando ne identifica uno, induce il computer remoto a utilizzare TFTP per scaricare una copia del worm. Essa è salvata come msblast.exe nella cartella di sistema di Windows e il registro su quel computer viene modificato in modo che il worm sarà eseguito al riavvio.

6. Il computer si riavvia continuamente, come posso scaricare RESOLVE?

Accade spesso che un computer infettato da W32/Blaster-A si riavvii continuamente dopo pochi minuti, di solito con un messaggio simile a "Windows deve essere riavviato poiché il servizio Remote Procedure Call (RPC) è terminato inaspettatamente". Ciò impedisce di scaricare le patch e i file necessari.

Per eliminare il problema su Windows XP, selezionare Avvia|Esegui, quindi digitare:

shutdown -a

per arrestare il riavvio. Sarà quindi possibile disinfettare il computer automaticamente o manualmente come descritto in precedenza.

Se possibile, scaricare l'autoestraente RESOLVE W32/Blaster-A su un altro computer. Salvarlo su un disco floppy ed eseguirlo sul computer interessato.

Se non è possibile eseguire il download su un altro computer, disabilitare DCOM per evitare il riavvio.

Windows XP

• Selezionare Avvia|Esegui e digitare

  dcomcnfg.exe.

• Selezionare Directory principale console|Servizi componenti.
• Aprire la sottocartella Computer.
• Cliccare con il pulsante destro del mouse su Risorse del computer|Proprietà.
• Cliccare sulla scheda Proprietà predefinite.
• Deselezionare "Abilita DCOM in questo computer", cliccare su Applica e infine su OK.
• Riavviare il computer.

Ripristinare le opzioni normali dopo aver applicato le patch e i file IDE rilevanti.

Windows NT/2000

• Selezionare Avvia|Esegui e digitare

  dcomcnfg.exe.

• Selezionare la scheda Proprietà predefinite.
• Deselezionare "Abilita DCOM in questo computer", cliccare su Applica e infine su OK.
• Riavviare il computer.

Ripristinare le opzioni normali dopo aver applicato le patch e i file IDE rilevanti.

Windows 95/98/Me

Riavviare a freddo il computer o entrare in modalità DOS (Windows 95/98) e utilizzare SWEEP con il file IDE W32/Blaster-A per eseguire la disinfezione.

Utilizzare un firewall o disabilitare "Condivisione file e stampanti" per proteggere il computer da altre infezioni.

7. Perché si verificano degli errori associati a SVCHOST.EXE anche se il computer non è stato infettato da W32/Blaster-A?

Se un computer vulnerabile viene sondato da W32/Blaster-A, anche se l'infezione non ha successo il servizio svchost non funzionerà. Ciò causerà una serie di problemi ad altri software.

Per eliminare tali problemi installare la patch presente sul Bollettino Microsoft sulla sicurezza MS03-039 e riavviare il servizio svchost.

8. Perché InterCheck impedisce a RESOLVE di avviarsi?

Il client InterCheck impedirà al programma di disinfezione RESOLVE di accedere ai file worm se è stato installato l'IDE W32/Blaster-A.

Su Windows NT/2000/XP:

• effettuare l'accesso come amministratore locale
• sulla barra delle applicazioni, selezionare Start|Programmi|Sophos Anti-Virus
• selezionare la scheda IC Client
• cliccare su INTERROMPI
• eseguire RESOLVE
• una volta rimosso il worm, cliccare su GO (vai) nella scheda IC Client.

Su Windows 95/98/Me:

• rinominare il file IDE W32/Blaster-A (BLASTERA.IDE) in BLASTERA.TXT
• riavviare il computer in locale (premere Esc se viene richiesto di effettuare l'accesso)
• eseguire RESOLVE
• una volta rimosso il worm, reimpostare il nome del file IDE su BLASTERA.IDE e riavviare nuovamente.

9. Non riesco a trovare la patch di Microsoft. Esiste una procedura più semplice al riguardo?

Se si dispone dello stato di amministratore sul computer è possibile scaricare le patch da Windows Update.

Windows Update interrogherà il computer e indicherà le patch che dovrebbero essere utilizzate. Gli aggiornamenti definiti critici sono i più importanti. Il numero di riferimento della patch per la vulnerabilità sfruttata da W32/Blaster-A è 823980.

Se si sta utilizzando una versione precedente di Internet Explorer, il download consigliato potrebbe essere di grandi dimensioni.Se il collegamento Internet è lento, potrebbe essere utile aggiornare Internet Explorer tramite il CD di una rivista di informatica, quindi utilizzare Windows Update.

Nota: Windows Update funziona unicamente con Internet Explorer 5 o una versione successiva.