E' stata segnalata la crescita di diffusione di un nuovo worm che attacca sistemi Windows (sia server che client). Questo worm provoca lo shutdown del sistema dopo 60 secondi, poichè il servizio RPC (Remote Procedure Call) termina inaspettatamente. Se il vostro Windows ha improvvisamente iniziato a spegnersi da solo e riavviarsi ogni 60 secondi siete vittima del worm.

Va subito precisato che, a differenza di quasi tutti i virus più comuni, W32Blaster non si diffonde a mezzo e-mail: le macchine infette tentano direttamente, a caso, di infettare le altre macchine che trovano su Internet. Si può essere attaccati semplicemente navigando.

Il worm ha attaccato e colpito migliaia di sistemi nel giro di poche ore e ci si attende il rilascio di una nuova variante munita di un più elevato grado di infettività.

Questo worm, utilizza alcuni bug conosciuti presenti nel sistema RPC necessario alla condivisione di risorse su reti di pc con s.o. Windows. Sfruttando la falla di cui sopra, il worm si insinua nel computer attraverso la porta TCP numero 135 uploadando un file (msblast.exe) e tenta di generare un attacco Denial of Service (DoS) al sito windowsupdate.com, per impedire che gli utenti infetti possano scaricare la patch che impedisce al worm di entrare nel sistema.
Una volta attaccato il sistema attiva un server TFTP con cui si incarica di scaricare la parte restante del worm. Successivamente utilizza la banda passante locale per generare un attacco verso i server Microsoft di Windows Update creando un DDOS, distributed denial of service, dove migliaia o milioni di piccoli computer si indirizzano verso un unico server, bloccandone i servizi. In modo specifico l'attacco cerca di rendere vani i tentativi di utilizzo di Windows Update da parte di utenti per scaricare le patch ai propri sistemi. 

L'attacco DDOS verso Windows Update verrà attivato il 16 Agosto e continuerà fino alla fine dell'anno. 
Oltre all'attacco DoS, Blaster tenta di eseguire alcuni comandi attraverso la shell cmd.exe, aprendo la porta 4444. Ancora, e' pronto a spedire il file msblas.exe attraverso la porta UDP 69 non appena un altro sistema lo richiede, in modo da poterlo infettare.

Il worm attacca tutte le versioni di Windows NT, 2000 e Windows XP. 
Windows 95/98/Me non utilizzano il servizio RPC e sono quindi immuni.

Il virus si attiva al lancio di Windows grazie ad una chiave presente in HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/
Windows/CurrentVersion/Run. 
Il termine aggiunto è windows auto update=msblast.exe. 

Il virus contiene anche un messaggio, che non viene mai mostrato:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!! 

che tradotto:
Bill Gates, perche' rendi questo possibile? Smetti di fare soldi e sistema i tuoi software!!".

Come difendersi
Per difendersi, è obbligatorio munirsi di un firewall personale (ad esempio Zone Alarm, http://www.zonelabs.com).
Occorre poi installare la patch Microsoft a questo indirizzo, oppure effettuare i download diretti a seconda del sistema operativo utilizzato:

- Windows Server 2003 (tutte le versioni)
- Windows XP (tutte le versioni)
- Windows 2000 (tutte le versioni)
- Windows NT 4.0 (tutte le versioni)

Un tool per la rimozione del worm, sviluppato dalla Symantec, è prelevabile da questo link.