Atentie, bantuie un virus tare pacatos pe net. Daca aveti pc-ul blocat incercati urmatoarele sfaturi.. de pe urmatoarele link-uri:

aviz papadie si monica :)

Asa e, ieri a aparut, se numeste Lovsan (= Blaster, MSBlast)
Aveti grija cei cu Microsoft si puneti-va sistemele la zi ca sa evitati punctul slab gasit de virus pentru a se propaga automat!

Mai multe info aici:
sau aici:

Informatii virusi

Nume: Win32.Msblast.A
Alias: W32.Blaster.Worm (NAV), W32/Blaster-A (Sophos)
Tip: Executable Worm
Marime: 6176 (impachetat cu UPX)
Descoperit: 12.08.2003
Detectat: 12.08.2003
Raspandire: Ridicata
Risc: Mic
ITW: Yes

Dupa executare, virusul creeaza un obiect mutex numit “BILLY” pentru a semnala prezenta sa in sistem, dupa care se instaleaza in %SYSTEM%\MSBlast.exe (ex. C:\Windows\System32) si creeaza o cheie de registri in HKLM\Software\Microsoft\Windows\CurrentVersion\Run, numita “windows auto update” care face trimitere la fisierul copiat pentru a ramane rezident in memorie si a fi rulat la fiecare pornire a calculatorului.

Descriere tehnica:
Se raspandeste folosindu-se de vulnerabilitatea Microsoft Windows DCOM RPC. Atunci cand detecteaza un sistem vulnerabil, utilizeaza aceasta vulnerabilitate pentru a emite o comanda TFTP prin care aduce o copie a virusului, dupa care se executa.

Virusul are si un payload, cauzand atacuri DoS (Denial of Service) pe situl dupa data de 15 August.

Corpul sau include doua siruri de caractere, si anume: “I just want to say LOVE YOU SAN!!” si “billy gates why do you make this possible ? Stop making money and fix your software!!” , care nu sunt folosite.

Virusul este scris in C si compilat cu LCC-Win32.

Instructiuni de dezinfectie:

Lasati BitDefender sa stearga fisierele infectate

Folositi utilitarul gratuit de dezinfectie oferit de BitDefender

Apasati CTRL+ALT+DEL si deschideti Task Manager, apoi inchideti procesul msblast.exe.
Stergeti fisierul %SYSTEM%\MSBlast.exe.
Stergeti cheia de registri urmatoare din regedit: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update.
Reporniti calculatorul.

Utilitar de dezinfectie:
Download utilitar de dezinfectie
Virus analizat de:
Mircea Ciubotariu
BitDefender Virus Researcher

Virusul MSBlast este CodeRed Reloaded

Bucharest, 12.08.2003
Compania româneascã SOFTWIN, prin Laboratorul Antivirus BitDefender, anunta astazi aparitia unui nou virus extrem de raspandit – numit MsBlast (Win32.MsBlast.A) – si lanseaza un antidot gratuit pentru sistemele deja contaminate. Specialistii compara acest virus cu faimosul “Code Red” – un vierme de internet similar care a provocat 350.000 de infectii in primele doua zile de la aparitie – pentru ca utilizeaza o vulnerabilitate cunoscuta in Microsoft Windows 2000/XP. Conform Computer Economics Cyber Attack Index, Code Red a avut un impact economic de 2.62 miliarde de dolari in 2001 prin simpla raspandire si infectare a sistemelor cu o viteza uluitoare.

Virusul reprezinta un atac sever la adresa breselor de securitate ale Microsoft, incluzand mesajul "billy gates why do you make this possible ? Stop making money and fix your software!!". Vulnerabilitatea a fost semnalata si Microsoft a lansat un patch inca din data de 16 iulie 2003 (puteti vedea buletinul de securitate la adresa, dar prea putini utilizatori si-au actualizat software-ul.

"Pentru ca virusul ameninta toate sistemele Windows 2000 si XP, ar putea provoca ravagii printre utilizatori” avertizeaza Mircea Ciubotariu, Virus Researcher in cadrul Laboratorului BitDefender, SOFTWIN. “Spre deosebire de Code Red, acesta nu este un virus care sa afecteze numai serverele, ci si toate calculatoarele care folosesc ultimul software Microsoft. Este deja cunoscut faptul ca majoritatea utilizatorilor Windows nu-si actualizeaza sistemele sau o fac foarte rar, astfel incat ne asteptam ca un numar mare de utilizatori sa fie afectat de aceasta noua amenintare. Totodata, este probabil ca performantele traficului de Internet sa fie reduse din cauza rutinei de raspandire” a conchis Ciubotariu.

Acesta este un vierme de Internet care se foloseste de o cunoscuta bresa de securitate din interfata
Microsoft's Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC). Aceasta vulnerabilitate permite unui hacker sa ruleze coduri. Portul TCP 135 este direct afectat de acest exploit.
Ca rutina, virusul initiaza atacuri DoS (Denial of Service) pe situl Microsoft Update ( incepand cu data de 15 August.

In Virus Top 10 din luna iulie, specialistii BitDefender avertizau asupra consecintelor nefaste pe care le-ar putea aduce publicarea codului pentru aceasta vulnerabilitate. Totodata, utilizatorilor li se indica instalarea de urgenta a patch-urilor lansate de Microsoft; expertii Laboratorului BitDefender au atras inca de pe atunci atentia ca actualizarea software-ului nu era o sarcina tocmai usoara - tinand cont de gravitatea acestei brese:

Antidotul gratuit BitDefender este disponibil la adresa:
Le recomandam tututor utilizatorilor Windows 2000 si XP sa aplice patch-ul de securitate oferit de Microsoft:

Pentru mai multe detalii, va rugam sa ne contactati sau vedeti descrierea tehnica la adresa:

joxy, subscriu: aviz papadie si monica :)))


Nu am avut timp ieri... eram la un membru al si ii devirusam pc-ul.
Sistemele afectate(mai rau) sunt WinME;2000;XP

"Affected Software:

Microsoft Windows NT® 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003 "

Metoda de scoatere a virusului, folosita de mine ieri cu succes:

era win XP... am dat disable la "System Restore"

am luat antivirusul de pe link-ul 1
am luat patch-ul de pe link-ul 2 (functie de win-ul pe care il aveti)
am rulat fixblast.exe (link 1)
am instalat patch (link 2)



W32.Blaster.Worm Removal Tool
Discovered on: August 11, 2003
Last Updated on: August 12, 2003 09:06:01 PM PDT

Symantec Security Response has developed a removal tool to clean the W32.Blaster.Worm infections.

Important Notes:

W32.Blaster.Worm exploits the DCOM RPC vulnerability. This is described in Microsoft Security Bulletin MS03-026, and a patch is available there. You must download and install the patch. In many cases, you will need to do this before you can continue with the removal instructions. If you are not able to remove the infection or prevent re-infection using the following instructions, first download and install the patch.
Because of the way the worm works, it may be difficult to connect to the Internet to obtain the patch, definitions, or removal tool before the worm shuts down the computer. It has been reported that, for users of Windows XP, activating the Windows XP firewall may allow you to download and install the patch, obtain virus definitions, and run the removal tool. This may also work with other firewalls, although this has not been confirmed.

What the tool does

The W32.Blaster.Worm Removal Tool does the following:
Terminates the W32.Blaster.Worm viral processes.
Deletes the W32.Blaster.Worm files.
Deletes the dropped files.
Deletes the registry values that the worm added.

Run the tool on every computer.

Obtaining and running the tool

NOTE: You need administrative rights to run this tool on Windows 2000, or Windows XP.
Download the FixBlast.exe file from:

Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible).
To check the authenticity of the digital signature, refer to the section, "Digital signature."
Close all the running programs before running the tool.
If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details.

CAUTION: If you are running Windows XP, we strongly recommend that you do not skip this step. The removal procedure may be unsuccessful if Windows XP System Restore is not disabled, because Windows prevents outside programs from modifying System Restore.

Double-click the FixBlast.exe file to start the removal tool.
Click Start to begin the process, and then allow the tool to run.

NOTE: If, when running the tool, you see a message that the tool was not able to remove one or more files, run the tool in Safe mode. Shut down the computer, turn off the power, and wait 30 seconds. Restart the computer in Safe mode and run the tool again. All the Windows 32-bit operating systems, except Windows NT, can be restarted in Safe mode. For instructions, read the document "How to start the computer in Safe Mode."

Restart the computer.
Run the removal tool again to ensure that the system is clean.
If you are running Windows XP, then re-enable System Restore.
Run LiveUpdate to make sure that you are using the most current virus definitions.

When the tool has finished running, you will see a message indicating whether W32.Blaster.Worm infected the computer. In the case of a worm removal, the program displays the following results:
Total number of the scanned files
Number of deleted files
Number of terminated viral processes
Number of fixed registry entries

Spuneti-mi si mie ca la prosti cum ma prind daca l-am luat sau nu?
Imi tot apare un rahatel de patratel cu nu stiu ce fatal error si-mi zice ca o sa restart compu da' ma minte ca dupä un timp dispare si nu restart nimik. Si tot asa se joaca cu mine:P Aaaaaa si nu poci sa mai imi vaz pozele de pe desktop E grav doctore? Mai scap?

down si iti scaneaza calc. iti zice el daca-l ai

A scos Ionu wormul caci, bineinteles, ca maiastra cum sunt l-am oplosit in computator:O

Kill the worms, people!!!

bash-2.05b# uname -a
Linux observer 2.4.20-NANO #2 Tue Jun 24 09:16:31 UTC 2003 i686 unknown

Let them come to daddy ...

xenocid tatä limbi straine...oricum m-am grabit ca wormul e la locul lui...deci nu va bazati pe "lucru manual". bagati antivirusi...daca nu mai dau semne de viata...gaina e moarta in coteata.

Pe ei, pe ei, pe ei, pe mama lor de virusi :P

Eu scanez calculatorul cu Norton Antivirus si inca nu mi-a detectat vreun virus. Cu toate astea, dupa ce folosesc Netul cam 2-3 ore consecutiv, mi se blocheaza, spre ex, ferestrele nu le mai pot inchide, doar ca dau "ctrl+alt+del" si uneori reusesc sa le inchid. Daca nu reusesc dau "reset" (de la buton). Sa fie vorba de vreun virus?

uita-te in task manager si vezi daca ai msblast.exe si ala este:(

Originally posted by papadie

" maiastra cum sunt l-am oplosit in computator:O "

Oana, daca te consolaeaza, afla ca nu esti singura.S-a lipit virusul si de mine.Pardon, de PC-ul meu.

