Introduzione
L'11 agosto, è iniziata una massiccia diffusione del virus W32.Lovsan.Worm (detto W32.Blaster.Worm). E' possibile che gli utenti dei sistemi operativi Windows 2000/XP mentre navigano in internet potrebbero incorrere in un messaggio simile al seguente:

- Firewall Norton Internet Security
Tentativo di connessione TCP in uscita
Indirizzo remoto, servizio: (xx.x.xxx.xx,epmap(135))
Nome processo: "C:\WINDOWS\System32\msblast.exe"

- Avviso:
Il sistema sta per essere arrestato.
Salvare tutto il lavoro in corso e chiudere la sessione.
Tutte le modifiche salvate andranno perse. L' arresto è stato iniziato da NT AUTHORITY/SYSTEM
Tempo rimasto prima dell'arresto: 00:00:40 (conto alla rovescia)

- Messaggio:
E' necessario riavviare Windows Perchè il servizio RPC (Remote Procedure Call) è terminato in modo imprevisto. Terminato il conto alla rovescia, il sistema si riavvia. Questo problema accade sempre dopo pochi minuti che si è collegati ad Internet.

Caratteristiche
Questo nuovo worm (W32.Blaster.Worm) sfrutta una vulnerabilità dei sistemi operativi Windows NT/2000/XP/2003.relativa al protocollo RPC (Remote Procedure Call). L'infezione da parte del virus si manifesta durante la connessione Internet con degli errori di sistema (NT AUTHORITY\SYSTEM) relativi, appunto, al servizio RPC (Remote Procedure Call). Le porte interessate dall'azione del virus sono TCP:135; TCP:4444 e UDP:69. Di solito il sistema viene automaticamente riavviato. Chi non ha installato la patch risolutiva Microsoft MS03-026 ma ha avuto l'accortezza di installare un buon software firewall si sarà certamente accorto dei tentativi di connessione sulla porta UDP:69. Il worm è stato studiato per installarsi su un pc di un utente remoto e permettere di controllare tale computer a distanza, all'insaputa del proprietario. Inoltre è stato, programmato per lanciare un attacco DoS contro WindowsUpdate il 16 di ogni mese. Il worm W32.Blaster.Worm riesce a replicarsi automaticamente.

NOTE:
- Questo problema di sicurezza non interessa i sistemi Windows 9x/Me quindi sono immuni al worm.
- La presenza di un firewall installato nel proprio PC impedisce al worm di attaccare il sistema, perchè chiude la porta da lui usata la protezione è valida a patto che il firewall chiuda porta che utilizza dal worm.

Come rimuovere il Worm e proteggere il sistema
Se si è stati attaccati è necessario la rimozione del worm e installare le apposite patch. Quando si è sotto l'attacco del worm il pc si riavvia da solo nolto velocemente non offrendo all'utente il tempo di scaricare nulla da Internet. Per superare questo ostatacolo si consiglia seguire questa semplice procedura:
- Da Start > Esegui digitare il comando msconfig e confermate con invio e dal pannello Avvio, disabbilitare tutte le esecuzioni automatiche (ricordarsi di riattivarle alla fine della rimozione del virus):

Zoom

- Riavviare il computer e andare in ...\windows\sistem32 e trovate il file msblaster.exe ed eliminatelo.
- Attivare il firewall
- Andare in Pannello di controllo/Prestazioni e manutenzione/Strumenti di amministrazione e cliccare su Servizi. Cercate il servizio RPC (Remote Procedure Call), guardate le sue proprietà (tasto destro) e visualizzate la scheda Ripristino. Qui cambiate tutte tutte le voci Riavvia il Servizio in Nessuna Azione. In questo modo quando attiverete la connessione in Internet e sarete sotto attacco, il pc non si riavvierà ma sarà e vi permetterà di scaricare le patch necessarie.

A questo punto scaricare uno dei tanti removal tool, per esempio quello della Symantec: FixBlast.exe e la patch per il vosto sistema operativo:

Removal tool di Symantec per il virus Lovsan (W32.Blaster) FixBlast.exe [165 KB]