Il Blaster WormQualche mese fa vi ricorderete tutti del disastro provocato dal Virus Blaster, che sfruttando una falla nel servizio
RPC di Windows permetteva di eseguire da remoto codice arbitrario sul PC infettato, il quale a sua volta diffondeva l'epidemia in maniera quasi irreversibile.
I Newsgroups erano stati presi d'assalto da utenti impauriti che di fronte alla finestrella di arresto del sistema non sapevano più che pesci pigliare.
E'così che furono infettati, stando alle ultime stime, circa
8-10 milioni di PC.
http://www.dotnethell.it/news/nw.aspx?NewsID=40 ">Il Virus Blaster piega i sistemi Windows
Il Blaster viene debellatoDopo molte settimane e mesi però finalmente si riesce ad arginare l'epidemia e a farla rientrare, per lo meno è un po' che non si sente gente che ha problemi sull'RPC ma non escludo, anzi sono quasi certo, che siano rimasti ancora PC infetti in rete.
Microsoft è intervenuta massicciamente pubblicando vari alert e bullettins sul suo sito e sul sito di
Windows Update per avvertire gli utenti di aggiornare il sistema per cautelarsi dal pericolo incombente.
Certo la figura che ci fa
Microsoft, una corporation da circa
55.000 dipendenti e fatturati astronomici non è molto positiva.
La nuova minaccia si chiama W32.SasserPassa qualche mese di tranquillità e da qualche giorno sui Newsgroups ricominciano ad apparire richieste di risoluzione a un problema proprio simile a quello del Blaster.
Purtroppo però non è lui. Il processo in questione è ora
lsass.exe, un processo che ha a che fare con la sicurezza di Windows e che fra le altre cose, autentica gli utenti durante il Logon.
Anche in questo caso è stata scoperta una falla di quel servizio e anche questa volta da remoto viene eseguito codice arbitrario che arresta o riavvia la macchina.
Per difenderci da questa nuova minaccia è sufficiente leggere i nuovi bulletin pubblicati da
Microsoft per capire di cosa si tratta:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ">Microsoft Security Bulletin MS04-011
http://support.microsoft.com/?id=835732 ">MS04-011: Security Update for Microsoft Windows
E anche quelli di
Symantec:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html ">W32.Sasser.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html ">W32.Sasser.B.Worm
Sia
Microsoft che
Symantec hanno prodotto dei Tools per rimuovere il Virus:
http://www.microsoft.com/security/incident/sasser.asp ">Removal Tool Microsoft
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html ">Removal Tool Symantec
RaccomandazioniInutile dire che è necessario proteggersi sempre di più perchè queste minacce sono sempre in agguato, quindi attivate il firewall di
Windows XP oppure se pensate sia necessario installatene uno migliore o addirittura uno hardware (magari è già incluso nel vostro router).
Tenete aggiornati i vostri sistemi tramite
Windows Update e installate gli ultimi
Service Pack disponibili.