Go to NetZ Home

מפת האתר
תמיכה
    בסיס מידע
    התקנה יחידה
    התקנה ברשת
    ניהול רשת
    דווח תקלה
רישום
הורדות
מידע

  

הצטרף לרשימת תפוצה
הוסף לרשימת המועדפים
שלח לחבר

English

חפש במאגר המידע

תולעת Blaster

תולעת Blaster

    מערכות הפעלה חשופות לפגיעה: מחשבים הפועלים תחת XP וחלונות 2000 בלבד, ללא טלאי RPC של מיקרוסופט, חשופים לתולעת Blaster. משתמשי חלונות 95/98/ME אינם חשופים לתולעת Blaster כלל ואינם נדרשים לעשות דבר בנדון.

    תולעת Blaster נתגלתה ב-11 לאוגוסט והיא מהווה איום חדש מסוגו. Blaster אינה מופצת באמצעות דואל אלא בצורה ישירה, דרך שירות RPC המהווה חלק ממערכת הפעלה "חלונות" לגירסותיה.

    השיטה בה Blaster "מדלג" ממחשב נגוע אחד למשנהו היא באמצעות פרצת אבטחה הקיימת בממשק של RPC, ומובנית בחלונות 2000 ו-XP. באופן אירוני, מיקרוסופט עצמה היא זו שהסבה את תשומת הלב של כותבי הווירוסים לכשל, כאשר הוציאה טלאי אבטחה לסתימת הפרצה ב-16 ליולי. למרבה הגיחוך, הטלאי הראשוני למעשה נכשל, ומיקרוסופט הוציאה עדכון שני לטלאי ב-10 לספטמבר. כל התייחסות לטלאי בדף זה היא לגרסה המאוחרת יותר.

    RPC, או בשמו המלא remote procedure call, הוא שירות תשתית המאפשר ביצוע פעולת על מחשב מקומי, עפ"י פניה ממחשב רחוק. תולעת Blaster מתנחלת במחשב הקורבן מאליה, ללא צורך בשיתוף פעולה כלשהו מצד הקורבן, רק להתחבר לרשת! בניגוד לעצות הניתנות ע"י הדיוטות, תוכנת חומת-אש אישית (להבדיל מחומת אש בחומרה) אינה יעילה לסיכול איומים מסוגו של Blaster. מאידך, חומרה המאפשרת סימוי או חיסוי של ה-IP יעילה כנגד איומים מסוג Blaster. בכלל זה נתבים ו-NAT.

    הדרך היחידה לחסום כליל את פרצת האבטחה שאפשרה את Blaster היא התקנת טלאי האבטחה של מיקרוסופט.

    סימפטומים להתקפה פעילה של Blaster: הודעה של IV כי הפעלת קובץ בשם msblast.exe נחסמה היא סימן וודאי להתקפה המתרחשת. במחשב XP ללא IV, הודעה של NT security כי המחשב יאותחל תוך דקה, הוא תבחין מובהק למחשב נגוע ב-Blaster לגרסאותיו!
    הערה: גרסאות חדשות של Blaster משתמשות בשמות שונים לקובץ ההפעלה של התולעת, וביניהם: mslaugh.exe, teekids.exe, penis32.exe, mspatch.exe, ואף תחליף לקובץ dllhost.exe החוקי.

    כל גרסה של InVircible מן השנתיים האחרונות מגלה וחוסמת את Blaster מלהתנחל במחשב.

    התקנת טלאי מיקרוסופט על מחשבי XP ו-W2K

    • התקנה על מחשב לא נגוע (נקי):

      1. לפני התחלת התהליך, וודא כי גרסת IV היא האחרונה, ועדכן אותה אם לא. לחץ על צלמית IV ופתח את About InVircible לבדיקה. מספר הגרסה והעדכון צריכים להראות build 565, update 171, או מאוחר יותר. השתמש ב-smart update מתפריט IV כדי לבצע את העדכון, ובדוק את מספרי העדכון שנית לאחר השלמתם.


      2. לך לדף העדכונים של מיקרוסופט מקישור זה, בחר את גרסת העדכון המתאימה למערכת ההפעלה שלך, והורד את הקובץ לדיסק המקומי, או הרץ את העדכון ישירות מן האתר של מיקרוסופט.


    • התקנת הטלאי על מחשב נגוע:

      1. ניתן להתגבר זמנית על מנגנון auto-shutdown הנגרם ע"י התולעת ע"י הפקודה “shutdown –a” המוקלדת בשורת "הפעלה" של שולחן העבודה, בתנאי שההדבר נעשה לפני שתהליך הכיבוי הגיע לנקודת האל-חזור!


      2. לפני התחלת התהליך, וודא כי ברשותך גרסת IV עדכנית כמתואר לעיל.


      3. ראשית, הורד לשולחן העבודה את תכנית ההסרה xBlaster וכן את תוכנת השרות ToggleMode.


      4. הרץ את ToggleMode משולחן העבודה ע"י קליק כפול על האיקון, ובחר לאתחל את המחשב במצב Safe (בטוח). אתחל את המחשב, וחלונות יתחיל במצב "שורת פקודה", ללא שולחן עבודה.


      5. היכנס למחשב כ-administrator, ובשורת הפקודה הקלד CD DESKTOP ואח"כ Enter. הקלד עכשיו XBLASTER ולחץ Enter. הפקודה הנ"ל תחסל את עותק Blaster ויסלק אותו מרשימת האתחול. הקלד עתה TOGGLMOD, לחץ Enter, ובחר לאתחל את המחשב במצב רגיל (Normal). אתחל את המחשב מחדש


      6. חלונות יאתחל עתה במצב רגיל, נקי מ-Blaster, ו-InVircible ייטען אף הוא. חשוב כי InVircible יפעל לכל אורך התהליך בהמשך, כדי למנוע מן התולעת ליטול שליטה על המחשב ולשבש את התהליך!


      7. התחבר לרשת ולך לדף העדכונים של מיקרוסופט מקישור זה, בחר את גרסת העדכון המתאימה למערכת ההפעלה שלך, הורד את הקובץ לדיסק המקומי ושמור אותו בשולחן העבודה. סביר כי במשך ההורדה תקבל התרעות מ-InVircible כי msblast.exe מנסה להתקין את עצמו. הודעות אלה מציינות כי InVircible עומד בפרץ ומונע מן התוקף לחדור. התעלם מן ההתרעות ע"י לחיצה על כפתור OK בחלון ההודעה. נתק את המחשב מן האינטרנט עם סיום ההורדה, וההתרעות של InVircible יפסקו


      8. במחשב הפועל תחת XP, כבה את 'שחזור מערכת' לפני התקנת הטלאי. רוב הסיכויים כי התולעת נשמרה עם קובצי השחזור, וברשותך עכשיו יש תולעת "משומרת" מוכנה ומזומנה לשחזור! מומלץ לחדול מלהשתמש ב"שחזור מערכת" מערכת של XP בדרך קבע! ש"מ הוכיחה את עצמה כצרה צרורה והבעיות הנגרמות בעטיה אינן שוות את התועלת המפוקפקת שבה.


      9. התקן את הטלאי של מיקרוסופט ע"י קליק כפול על צלמית התוכנה שהורדת לשולחן העבודה. לפני אתחול חלונות מחדש, הרץ פעם נוספת את xBlaster משולחן העבודה, לסילוק השיירים של Blaster אשר חדרו במהלך הורדת הטלאי


      10. אתחל את חלונות כרגיל, המחשב נקי עכשיו, ובטוח מפני הדבקה של Blaster. לסיום, מחק את הקבצים המיותרים ששמרת על שולחן העבודה במהלך העדכון

    Last modified: 18 Jun 2004

שלח דף זה לחבר

חזרה למאגר המידע