W32/Blaster-G là một loại sâu máy tính sử dụng Internet để khai thác lỗ hổng DCOM trong dịch vụ RPC (Thủ tục gọi từ xa), cho phép tin tặc có thể truy cập trái phép vào máy tính bị lây nhiễm.
Tên virus:
Biệt danh: Worm.Win32.Lovesan.f, W32/Blaster.worm.k, WORM_MSBLAST.I, W32.Blaster.T.Worm
Ngày xuất hiện: 21/4/2004
Mô tả
- W32/Blaster-G tự nhân bản vào thư mục Windows với cái tên eschlp.exe, và để có thể tự động chạy khi hệ thống khởi động, sâu sẽ tạo ra một giá trị trong khóa registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Helper =
MSUpdate =
SPUpdate =
- W32/Blaster-G cũng chứa một thành phần "backdoor" trong thư mục Windows có tên svchosthlp.exe, cho phép kẻ tấn công có thể kết nối từ xa tới hệ thống máy tính lây nhiễm.
- W32/Blaster-G sửa đổi giá trị sau trong khóa registry để thay đổi trang home page mặc định của Microsoft Internet Explorer:
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page
= http://www.getgood.biz
