Um e-mail que recebemos de um leitor, dias atrás, indica que Blaster – worm que deu trabalho a muita gente, incluindo a própria Microsoft – continua perambulando pela Rede. Por conta disso, sendo o assunto de interesse geral, resolvi abrir espaço aqui no blog para algumas informações e sugestões:
Criado há alguns anos para explorar uma falha crítica de segurança do Windows 2000/XP (já corrigida pela Microsoft através do patch MS03-039) e desfechar um mega-ataque contra o site do Windows Update, o MS Blaster infectou milhões de PCs ao redor do mundo no prazo de poucas semanas. Se você não se preocupa muito com atualizações críticas e de segurança, ponha as barbas de molho – especialmente caso perceba alguma anormalidade no seu Windows (travamentos e reinicializações aleatórias, instabilidades e perda de performance, por exemplo) ou depare com a seguinte mensagem de erro:
Este sistema está sendo desligado. Salve todo o trabalho em andamento e faça logoff. Quaisquer alterações não salvas serão perdidas. Este desligamento foi iniciado pela AUTORIDADE/SISTEMA NT. Tempo antes de desligar: Mensagem 00:00:XX: O Windows precisa ser reiniciado agora porque o serviço de chamada de procedimento remoto (RPC - Remote Procedure Call) foi encerrado inesperadamente.
Em sendo o caso, pesquise a existência de um executável de nome “Msblast.exe” (encontrá-lo será uma indicação clássica da infecção, embora esse arquivo não se faça presente em todas as variante do worm).
Rode o Windows Update e instale todas as atualizações críticas e de segurança (muitas delas requerem a instalação prévia do Service Pack 2).
Feito isso, atualize seu antivírus (você tem um, não é mesmo?) e tente remover o código malicioso fazendo uma varredura completa no sistema.
Para obter informações adicionais sobre ferramentas de remoção de software e outros detalhes sobre como neutralizar esse worm e suas variantes, use os links abaixo:
· Página do VirusScan do McAfee sobre o vírus W32/Lovsan.worm.
· Página do Anti-Vírus do Norton (Symantec) sobre o vírus W32.Blaster.Worm.
· Artigo base de conhecimento Microsoft 833330 - Uma ferramenta está disponível para remover os worms Blaster e Nachi de computadores infectados que estejam executando o Windows 2000 ou Windows XP.
Se nada disso resolver o problema, entre em contato com a Microsoft e com o fabricante do seu software antivírus para obter mais assistência.