[SECURITY-L] Como se livrar do virus Blaster

Security Team - UNICAMP security em unicamp.br
Qua Ago 13 09:58:26 -03 2003 

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Como se livrar do vXrus Blaster
To: security em unicamp.br
Date: Tue, 12 Aug 2003 20:49:44 -0300 (ART)

Como se livrar do vírus Blaster

12/8/2003 - 19:17 Giordani Rodrigues

http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1060726668,36336,

Um dos sintomas visíveis da presença do Blaster é que
o sistema se torna instável e passa a reiniciar
constantemente. Já é possível encontrar fóruns em
português com usuários pedindo
ajuda(http://www.babooforum.com.br/idealbb/view.asp?topicID=120288)
para este problema. Se você roda Windows 2000 ou XP e
crê que sua máquina esteja infectada, faça o seguinte:

1) A forma mais fácil de eliminar o vírus é rodar uma
ferramenta de desinfecção automática. A Symantec
publicou a ferramenta
FixBlast.exe(http://securityresponse.symantec.com/avcenter/FixBlast.exe)
e a Computer Associates lançou o arquivo
ClnPoza.zip(http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip),
ambos capazes de eliminar o Blaster.

2) Depois de baixar os arquivos, desconecte o
computador infectado da Internet e isole-o da rede
interna, se ele estiver ligado a outras máquinas. Rode
as ferramentas de desinfecção.

3) Desabilite o protocolo DCOM. Para tanto, vá em
Iniciar/Executar, digite "regedit" (sem aspas) e
aperte a tecla "Enter". Com isso, você abrirá o editor
do Registro. Localize a chave
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE e mude o
valor de "EnableDCOM" para N. Depois, reinicie sua
máquina. Isto impedirá que o sistema seja novamente
infectado até que você aplique a correção de
segurança. Outras formas de desabilitar o protocolo
DCOM podem ser encontradas no site:
http://support.microsoft.com/default.aspx?scid=kb;en-us;825750
(explicações em inglês).


4) Conecte novamente seu computador à Internet, acesse
o boletim de segurança
MS03-026(http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp)
e faça o download da correção disponível naquela
página. Uma maneira mais fácil de atualizar o Windows
é visitar o site www.windowsupdate.com e instalar
todas as correções críticas indicacadas pelo serviço.
Esta etapa é imprescindível para garantir que seu
sistema não será novamente infectado pelo Blaster ou
outros vírus similares, que certamente serão criados
nas próximas semanas.

Lembre-se de que os passos acima servem apenas para
desinfecção do Blaster, mas se sua máquina foi
atingida pelo worm, significa que pode ter sido
infectada anteriormente por outros programas criados
recentemente e que exploram a mesma falha. Por isso, o
ideal é você atualizar seu antivírus e fazer uma
análise completa do sistema. Caso não tenha antivírus,
há opções gratuitas que podem ser encontradas no site: http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid990794416,20786,/

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L