MSBLAST.EXE alias Worm Blaster.A, LoveSan atau Msblast.A?

Posted on Updated on

MSBLAST.adalah worm yang menginfeksi komputer melalui koneksi
jaringan. Ini dapat menyerang seluruh jaringan dari komputer atau satu komputer  yang terhubung ke Internet. Eksploitasi cacing jendela yang diketahui kerentananya  mudah ditambal, beberapa sistem sebelumnya perlu menginstal patch untuk worm ini.

Virus ini menyerang Windows 2000 dan Windows XP dan mengeksploitasi RPC DCOM Vulnerablity.  sehingga pada update automatis window akan terhenti , hal ini  menyulitkan untuk men-download patch yang diperlukan dan memungkinkan worm untuk
menginfeksi banyak PC  karena  belum dinonaktifkan.
Pada 15  Agustus tahun lalu , Microsoft memutuskan untuk menghentikan server windowsupdate.com untuk  mengurangi dampak dari denial of service attack.

MSBLAST juga dapat menyebabkan  ketidakstabilan sistem secara luas dan  tidak terbatas pada Windows Blue screens, dari kesalahan memori, perubahan ke Control Panel, ketidakmampuan untuk menggunakan fungsi dalam browser, dan masih banyak lagi keanehan.

Download Windows patch untuk kerentanan ini dengan mengklik pada link di bawah ini:

Windows XP: DCOM/RPC Exploit patch

Windows 2000: DCOM/RPC Exploit patch

kerentanan Windows Ini  dapat ditambal dengan menggunakan Windows Update untuk mendownload semua update penting untuk sistem anda. Namun dalam beberapa kasus, orang-orang telah melaporkan 0x800A138F mendapatkan kesalahan  ketika mencoba untuk mendownload update. Jika Anda menerima kesalahan yang  serupa dengan ini, coba baca artikel  Marc Liron’s artikel ( Marc
Liron’s excellent article
)
yang sangat baik untuk  memecahkan updatexp.com ini di situs web.

Apa  Kerentanan pada  DCOM ?

kerentanan pada DCOM  di Windows 2000 dan XP dapat membiarkan   orang yang  menjadi attacker untuk menjalankan remote komputer pada Microsoft Windows dan mendapatkan kontrol penuh untuk mengendalikan PC kita . Worm menyebabkan buffer overrun di  service Remote Procedure Call (RPC) . Ketika layanan ini menginfeksi   virus dan worm kemudian akan  mencoba untuk menginfeksi komputer lain.

Apakah Gejala dari  MSBLAST Worm?

Anda akan melihat sebuah layar yang mirip dengan yang di bawah ini ketika Anda terinfeksi, hal ini akan penghitung ke nol dan benar-benar menutup sistem sama sekali.
Peringatan akan menyatakan “shutdown ini diprakarsai oleh NT AUTHORITY \ SYSTEM”. Pesan akan membaca sekarang harus me-restart Windows karena Remote Procedure Call (RPC) dihentikan layanan tak terduga.

Anda dapat menonaktifkan shutdown ini dengan mengikuti langkah-langkah di bawah ini selama hitung mundur
1. Klik pada Start, Run
2. Ketik CMD dan tekan ENTER
3. Ketik perintah berikut dan tekan Enter

  • SHUTDOWN-A

ini akan mengakhiri shutdown, namun pada kebanyakan kasus, sistem mungkin untuk tidak stabil untuk mencoba untuk pulih dan mungkin perlu reboot juga.

Bagaimana MSBLAST menginfeksi Computer?

  • Worm  menciptakan mutex bernama “BILLY.” Jika ada mutex, cacing akan keluar.
  • Menambahkan nilai:

”windows auto update” = MSBLAST.EXE (variant A)
”windows auto update” = PENIS32.EXE (variant B)
”Microsoft Inet xp..” = TEEKIDS.EXE (variant C)
“Nonton Antivirus=mspatch.exe” (variant E)
“Windows Automation” = “mslaugh.exe” (variant F)
“www.hidro.4t.com”=”enbiei.exe” (variant G)

ke kunci registri:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

sehingga Worm berjalan ketika Anda menjalankan Windows.

  • Menghitung alamat IP, didasarkan pada algoritma berikut, 40% dari waktu:

Host IP: A.B.C.D
sets D equal to 0.
if C > 20
akan mengurangi nilai acak kurang dari 20.

Setelah dihitung, cacing akan mulai mencoba untuk mengeksploitasi komputer berdasarkan ABC0, dan kemudian menghitung. Ini berarti Local Area Network akan segera terinfeksi dan menjadi menjadi jenuh dengan port 135 permintaan sebelumnya untuk keluar dari subnet lokal.

  • Mengirim data pada TCP port 135 yang dapat mengeksploitasi kelemahan DCOM RPC untuk mengizinkan tindakan berikut ini terjadi pada komputer yang rentan:
Buat Remote  cmd.exe yang tersembunyi  dan ini nantinya akan mengatur port TCP 4.444.

CATATAN: Karena sifat acak karakteristik dari Worm yang mengeksploitasi data, dapat menyebabkan Crash jika komputer untuk mengirimkan data yang tidak benar. Hal ini dapat menyebabkan layar biru, dari kesalahan memori , dll

  • Perhatikan pada port UDP 69. Ketika cacing menerima permintaan, ia akan mengembalikan Msblast.exe biner.
  • Mengirimkan perintah ke komputer remote untuk menyambung kembali ke host yang terinfeksi dan men-download dan menjalankan Msblast.exe.
  • Jika bulan ini adalah setelah Agustus, atau jika tanggal hari ini setelah tanggal 15, Worm akan melakukan DoS pada “windowsupdate.com.” Dengan logika saat ini, cacing akan mengaktifkan serangan DoS pada tanggal 16 bulan ini, dan berlanjut sampai akhir tahun.  Cacing berisi teks berikut, yang tidak pernah ditampilkan:
    I just want to say LOVE YOU SAN!!  billy gates why do you make this possible ? Stop making money and fix your software!!Windows 2000 Machines
  • Pada Windows 2000 ,  ikon Control Panel akan  beralih ke sebelah kiri, fungsi seperti MENCARI dalam browser berhenti bekerja, dan banyak keanehan lainnya.

Remove Mblast

Ikuti langkah-langkah berikut:
1) Putus komputer Anda dari jaringan area lokal atau Internet
2) Terminate program yang sedang berjalan

  • Buka Windows Task Manager dengan baik menekan CTRL + ALT + DEL, memilih tab Proses atau memilih Task Manager dan kemudian proses WinNT/2000/XP tab pada mesin.
  • Cari salah satu dari program berikut (tergantung variasi), klik di atasnya dan End Task atau End Process

MSBLAST.EXE
PENIS32.EXE
TEEKIDS.EXE
MSPATCH.EXE
MSLAUGH.EXE
ENBIEI.EXE

  • Tutup Task Manager

3) Instal patch untuk RPC DCOM Exploit, Anda dapat men-download patch dari link di bawah ini sebelum disconnecting
Windows XP Pro/Home Edition

Windows 2000

Windows NT Server 4.0 and Windows NT Workstation 4.0

Windows NT Server 4.0, Terminal Server Edition

Windows XP (64 bit) (server edition)

Windows 2003 (32 bit)

Windows 2003 (64 bit)

Jika Anda menerima “cryptographic service” kesalahan saat Anda mencoba untuk menerapkan patch,
silakan baca berikut ini artikel yang sangat baik tentang cara untuk memperbaiki kesalahan ini:
http://www.updatexp.com/cryptographic-service.html
4) Blok akses ke port TCP 4.444 di tingkat firewall, dan kemudian blok port berikut, jika mereka tidak menggunakan aplikasi yang terdaftar:

  • TCP Port 135, “DCOM RPC”
  • UDP Port 69, “TFTP”

5) Remove the Registry entries

  • Click on Start, Run, Regedit
  • In the left panel go to

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Current Version>Run

  • In the right panel, right-click and delete the following entry

”windows auto update” = MSBLAST.EXE (variant A)
”windows auto update” = PENIS32.EXE (variant B)
”Microsoft Inet xp..” = TEEKIDS.EXE (variant C)
“Nonton Antivirus”=MSPATCH.EXE (variant E)
“Windows Automation” = “mslaugh.exe” (variant F)
“www.hidro.4t.com”=”enbiei.exe” (variant G)

  • Tutup  Registry Editor
6) Menghapus file yang terinfeksi (untuk Windows ME dan XP ingat untuk mematikan System Restore sebelum mencari dan menghapus file-file ini untuk menghapus file yang terinfeksi didukung juga)

  • Klik Mulai, arahkan ke Cari atau Search, dan kemudian klik Files atau Folders.
  • Dalam  “Named” or “Search for…” kotak, jenis, atau copy dan paste, nama file: msblast *.* (atau nama file lain yang tercantum di atas)
  • Klik Temukan Sekarang atau Search Now.
  • Hapus file yang ditampilkan.
  • Empty the Recycle bin, cacing dapat reinfect bahkan jika file-file tersebut di recyc
7) Reboot komputer, Restart jaringan, dan perbarui pSoftware  antivirus, dan menjalankan scan virus yang menyeluruh dengan menggunakan program antivirus favorit Anda.

8) Sekarang periksa Worm lagi, kalau kembali, melengkapi langkah ini sekali lagi sampai virus pergi. Dengan patch di tempat, virus tidak akan mampu mengeksploitasi sistem, tetapi kadang-kadang sulit untuk menghapus file-file untuk selamanya. Untuk Otomatis Penghapusan MSBLAST, men-download Symantec removal tool,, Anda masih harus men-download patch di atas dan menginstalnya, namun hal ini alat penghapusan akan menghentikan program MSBLAST berjalan, menghapus item di registri, dan menghapus file yang terinfeksi. Anda dapat menemukan informasi lebih lanjut tentang hal ini dengan mengunjungi Symantec’s atauTrendMicro’s dan Microsoft What You Should Know About the Blaster worm

sumber

One thought on “MSBLAST.EXE alias Worm Blaster.A, LoveSan atau Msblast.A?

    aryan said:
    10/31/2010 pukul 1:45 pm

    mas gimana cara laptop saya sepaerti MSBLAST WORM gimana perintahnya?????

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s