Blaster.T

Pojawiła się kolejna wersja robaka wykorzystującego znany już błąd DCOM RPC (Microsoft Security Bulletin MS03-026). Robak działa wyłącznie w systemach Windows XP i 2000. Windows NT i 2003 może zostać zarażony, ale robak nie zadziała (nawet bez wgranych łatek). Rozwiązaniem jest wgranie poprawki:

Windows XP: Pobierz
Windows 2000: Pobierz Czynności, które robak wykonuje przy uruchomieniu:

1. Sprawdzanie czy system jest już zainfekowany.
2. Kopiowanie do Windows, WindowsSystem32 lub WinntSystem32, WindowsSystem plików eschlp.exe i svchosthlp.exe.

3. Dodanie wartości:
„Helper” = „[katalog systemowy]eschlp.exe /fstart”
„MSUpdate” = „[katalog systemowy]svchosthlp.exe”

4. Wpisy w rejestrze:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSysuser

5. Infekcja komputerów przez wysłanie na porcie 135 po protokole TCP danych wywołujących błąd w DCOM RPC.