Поводом для размещения данной информации послужили несколько писем с вопросами одинакового содержания, полученные мной за последние 2-3 дня: …При выходе в интернет через некоторое время появляется сообщение, что произошла непредвиденная остановка службы RPC и в течение минуты компьютер перезагрузится. Сообщение возникает нерегулярно. Что это может быть и как это можно исправить?… Возможно данная проблема связана с появившимся несколько дней назад сетевым червем Blaster (другие названия — "Lovesan", "Lovsan", "Msblast", "Poza"). Червь использует уязвимость в службе Microsoft Windows DCOM RPC. Данная уязвимость позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы. Червь просматривает случайный диапазон IP адресов для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку основного тела червя. После успешной загрузки основного тела червя, оно копируется в каталог ..WINDOWSsystem32 и запускается на выполнение. Червь не удаляет, не изменяет и не похищает данные, но работа в интернете может быть существенно затруднена вследствие вызываемой ошибки службы RPC и последующей перезагрузке компьютера. Кроме того угроза состоит в нарушении нормальной работы интернета в целом, что происходит из-за перегрузки каналов передачи данных рассылкой вирусного кода. Начиная с 16 августа Blaster атакует сайт windowsupdate.com, на котором содержатся обновления для операционной системы Windows. На данный момент известны три модификации червя, которым некоторыми разработчиками присвоены индексы "a", "b" и "c".
Признаки заражения компьютера:
Наличие файлов MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE в каталоге ..WindowsSystem32
Внезапная перезагрузка компьютера после соединения с интернетом каждые несколько минут
Многочисленные сбои в работе программ Word, Excel и Outlook
Сообщения об ошибках, вызванных файлом "SVCHOST.EXE"
Появление на экране окна с сообщением об ошибке (RPC Service Failing)
Появление в разделе реестра
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] параметра
"windows auto update" = "msblast.exe"
Решение проблемы:
Загрузить последние обновления безопасности от Microsoft:
http://go.microsoft.com/?linkid=220944 (Windows XP)
http://go.microsoft.com/?linkid=220945 (Windows XP 64 bit)
(Для обеспечения передачи обновления с сайта Microsoft рекомендуется найти файл TFTP.EXE в каталоге ..WindowsSystem32, и скрытом каталоге ..WindowsSystem32DLLCACHE и переименовать его. После окончания загрузки и установки обновления можно вернуть файлу оригинальное название.)
Загрузить последние обновления вашего антивируса для удаления червя или воспользоваться бесплатной утилитой от Лаборатории Касперского (ftp://ftp.kaspersky.com/utils/clrav.zip) или вручную удалить указанные выше ключ реестра и файлы вируса.
PS: Если у Вас есть другие варианты решения проблемы, указанной в письме, пишите по адресу michaelb@land.ru с темой "RPC".
