Symantec çok sayıda kullanıcının bu güvenlik açığından etkilenebileceğini göz önünde bulundurarak, virüsün threatcon değerini 4’e yükseltti. Solucan yapısındaki bu virüsün etkileyeceği sistemlerin içinde Microsoft IIS, Windows 2000, Windows XP and Windows NT bulunuyor.
W32.Blaster.Worm uzaktaki sisteme erişebilmek üzere DCOM MSRPC güvenlik açığını kullanıyor. Saldırıdan sonra TCP port 4444’e bağlanmaya çalışıyor, enfekte olan sisteme kendisini kopyalamak için de tftp’yi kullanıyor.
W32.Blaster.Worm çalıştırıldığında, aşağıda belirtilenleri yapacaktır:
1)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun kayıt anahtarına “windows auto update”=”msblast.exe” değerini atayarak, Windows başlatıldığında solucanın çalışmasını sağlayacaktır.
2)Güvenlik açığı olan makinede aşağıdaki eylemi yapabilmek üzere DCOM RPC güvenlik açığını kullanma ihtimali olan TCP port 135 üzerinden veri gönderecektir. Böylelikle solucan sisteme indirilecek ve tftp programı ile çalıştırılacaktır.
Solucanın analizini yapan Symantec, solucanın belirli bir süre içinde windowsupdate.com’a karşı bir “Servis Reddi”ni başlatmak üzere kod içerdiğini tespit etti. Solucan 15 Ağustos 2003 tarihinden itibaren yıl sonuna kadar her yıl bir “Servis Reddi” başlatmak üzere kodlanmış bulunuyor.
Symantec, DeepSight Threat Management System sayesinde 57.000’in üzerinde sistemin virüsü kaptığını ve şu anda Port 135’e karşı araştırma başlattığını belirledi. Bu sayı 10 Ağustos tarihinden itibaren son 24 saat içinde 1000 ila 2000 arasında artış gösterdi. Symantec Yönetilmiş Güvenlik Sistemleri, müşteri güvenlik sistemlerinin içinde her saat başı virüs yayılma süresi olarak (sadece IP adresleri) W32.Blaster.Worm’un Slammer worm’dan yaklaşık daha hızlı yayıldığını bildirdi.
Microsoft 16 Temmuz 2003’te bu güvenlik açığı için bir yama yayınladı. Symantec Güvenlik Yanıt Merkezi kullanıcılara sistemlerine bu yamayı uygulamalarını şiddetle öneriyor.
Bu yamayı aşağıdaki adreste bulabilirsiniz:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Bu solucan hakkında daha fazla bilgi almak ve onun nasıl yok edileceğini, virüslü dosyaların nasıl taranacağını öğrenmek için Symantec Güvenlik Yanıt Merkezi’nin web sitesine girebilirsiniz:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
Kaynak : 