Červ W32.Blaster.Worm, který se začal výrazně projevovat v pondělí, napadl desítky tisíc počítačů a opět potvrdil laxnost uživatelů operačního systému Windows a některých správců počítačových sítí.
Internetový červ označovaný jako MSBlaster nebo LoveSAN se začal šířit v pondělí, kdy mnoho českých uživatelů hlásila problémy s opakovaným samovolným vypínáním počítače. Od pondělka stihl červ napadnout více než sto tisíc počítačů po celém světě, přičemž většinou měly problémy domácí uživatelé.
Červ napadá počítače s operačními systémy založenými na technologii Windows NT, tedy na NT, Windows 2000, Windows XP a také na Windows 2003 serveru, kde využívá bezpečnostní chybu popsanou v Microsoft Security Bulletinu MS03-026. Oproti klasickým červům nepoužívá MSBlaster ke svému číření email, ale z napadeného počítače se sám aktivně šíří skenováním náhodně vybraných IP adres a hledáním nechráněného portu 135. Napadení počítače se nemusí okamžitě projevit, i když se často vyskytuje opětovné samovolné vypnutí stroje nebo zpomalení připojení k internetu.
Kromě nepříjemností způsobených neustálými restarty počítače může červ způsobit další škody v podobě DoS útoku na webové rozhraní služby automatický update pro operační systémy Windows. Útok je naprogramován na tuto sobotu s tím, že další útoky mají následovat pravidelně až do příštího roku. Vir v sobě obsahuje také vzkaz Předsedovi správní rady Microsoftu a spoluzakladateli této společnosti Billu Gatesovi, ve kterém mu radí, aby přestal vydělávat peníze a raději opravil své programy.
Za hloupost se platí
Jako většina počítačových virů, i tento poslední ukazuje, že staré české přísloví je stále aktuální a pravdivé. Záplata pro zranitelné systémy je k dispozici prostřednictvím Windows update už poměrně dlouho. Problémy neměli ani majitelé počítačů se zranitelným operačním systémem ale chráněné dobře nastaveným Firewallem nebo aktualizovaným antivirovým programem. Pokud Windows pravidelně nedoplňujete o bezpečnostní záplaty, měli byste to udělat a nastavení firewallu také není příliš složité.
Když už je pozdě
Odstranění viru ze systému je možné několika způsoby. První doporučovaný počítá se smazáním záznamu z registru Windows. Toho docílíte spuštěním aplikace regedit z příkazové řádky. Následně vyhledáte záložku
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
a vymažete hodnotu
"windows auto update"="msblast.exe".
Této operaci se vir může bránit ukončováním aplikace regedit. Proto Symantec uvolnil nástroj na odstranění MSBlasteru FixBlast.exe. Pro odstranění viru z počítače stačí stáhnout aplikaci a uložit ji nejlépe na výměnné médium. Před spuštěním Fixblastu je nutné ukončit všechny běžící aplikace a vypnout funkci System Restore. Po té můžete spustit FixBlast. Po restartu počítače spusťte utilitku ještě jednou pro kontrolu. Pokud je systém odvirován, updatujte Windows a definiční soubory svého antivirového systému.