Blaster-variant brengt Windows-patch aan

Goedaardig virus verwijdert worm

19 augustus 2003 | Jamie Biesemans Een recentelijk ontdekte variatie op Blaster bevat een nogal ongewone lading. Na besmetting wordt de oorspronkelijke worm vernietigd en de patch van Microsoft geïnstalleerd. Blaster.d is daarmee in feite te beschouwen als een soort anti-virus.

Virusbestrijders beschouwen Blaster.d niettemin als een kwaadaardig verschijnsel. Hoe je het ook wendt of keert, door te zoeken naar kwetsbare computers en deze ongevraagd te besmetten gedraagt Blaster.d zich als een regelrecht virus, zegt de firma Trend Micro. Toch oordeelt het bedrijf mild over de variant. "Een voorlopige analyse toont aan dat deze worm MSBlast.exe, aangebracht door Blaster.a, verwijdert en vervolgens patches voor de RPC-kwetsbaarheid downloadt", aldus een bulletin van Trend Micro.

De infectiewijze is vergelijkbaar met die van de oorspronkelijke Blaster-worm, ook wel Lovesan genaamd. Doelwit blijven Windows NT-, 2000-, XP- of Server 2003-systemen waarop nog geen patch is aangebracht om een lek in het Remote Procedure Call-protocol te dichten. Via poort 135 smokkelt de worm zichzelf binnen. Het bestand waarin de d-variant zit verstopt draagt de naam dllhost.exe, en is ongeveer 10 KB groot - niet te verwarren met het authentieke systeembestand van Windows dat dezelfde naam draagt, maar een grootte van slechts 6 KB heeft. Lees meer artikels over : blaster, worm

bron: ZDNet