Il sistema sta per essere arrestato.
Salvare tutto il lavoro in corso e chiudere la sessione.
Tutte le modifiche salvate andranno perse. L' arresto è stato iniziato da NT AUTHORITY/SYSTEM
Tempo rimasto prima dell'arresto: 00:00:40 (conto alla rovescia)

Messaggio:
E' Necessario riavviare Windows Perchè il servizio RPC (Remote Procedure Call) è terminato in modo imprevisto.

e poi, terminato il conto alla rovescia, il sistema si riavvia. Questo problema accade sempre dopo pochi minuti che si è collegati ad Internet.

Il problema è causato da un nuovo worm denominato W32.Blaster.Worm che sfrutta una vulnerabilità relativa al protocollo RPC (Remote Procedure Call) resa nota recentemente, di cui sono afflitti i sistemi operativi Windows NT/2000/XP/2003. Tale worm è stato studiato per replicarsi, installarsi su un pc di un utente remoto e permettere di controllare tale computer a distanza, all'insaputa del proprietario. Inoltre è stato programmato per lanciare un attacco DoS contro WindowsUpdate il 16 di ogni mese.

Il worm W32.Blaster.Worm riesce a replicarsi automaticamente.

Un utente si accorge di essere sotto attacco perchè appare il messaggio di errore precedente.

NOTE:
- I sistemi Windows 9x/Me non sono afflitti da questo problema di sicurezza e quindi sono immuni al worm.
- La presenza del firewall di Windows XP impedisce al worm di attaccare il sistema, perchè chiude la porta da lui usata. In ogni caso installate la patch proposta da Microsoft. Va sottolineato che anche anche gli altri firewall bloccano l'attacco del virus, a patto che chiudano la porta che utilizza.

COME RIMUOVERE IL WORM E PROTEGGERE IL SISTEMA

Per essere immuni totalmente dal worm bisogna rimuoverlo (se presente) e installare le apposite patch.

Il problema più grosso è che quando si è sotto attacco, il pc si riavvia da solo in fretta e non si ha il tempo di scaricare nulla da Internet. Per aggirare questa situazione bisogna:

- su un sistema Windows XP è sufficiente attivare il firewall (bisogna andare nelle proprietà della propria connessione, cercare la scheda avanzate e attivarlo)
- altrimenti bisogna rimanere scollegati da Internet, andare in Pannello di controllo/Prestazioni e manutenzione/Strumenti di amministrazione e cliccare su Servizi. Cercate il servizio RPC (Remote Procedure Call), guardate le sue proprietà (tasto destro) e visualizzate la scheda Ripristino.
Qui cambiate tutte tutte le voci Riavvia il Servizio in Nessuna Azione. La prossima volta che sarete su Internet e sarete sotto attacco, il pc non si riavvierà ma sarà "scomodo da usare". Comuque riuscirete a scaricare le patch necessarie.

A questo punto dovete andare su Internet e scaricate uno dei tanti removal tool, per esempio quello della Symantec: FixBlast.exe e la patch per il vosto sistema operativo:

Windows XP italiano: WindowsXP-KB823980-x86-ITA.exe
Windows 2000 italiano: Windows2000-KB823980-x86-ITA.exe
Windows NT 4 Server italiano: ita_Q823980i.exe
Windows 2003 italiano: WindowsServer2003-KB823980-x86-ITA.exe

Al momento non sembrano esserci patch disponibile per il sistema operativo Windows NT4 Workstation.

Adesso scollegatevi da Internet, riavviate il computer e lanciate prima il removal tool (potrebbe impiegare parecchio tempo) e poi installate la patch. A questo punto riavviate ancora e il vostro sistema sarà pulito e immune dal worm.
Come ultima cosa, sarebbe meglio ripristinare la voce Riavvia il Servizio nelle proprietà del servizio RPC (Remote Procedure Call).

NOTA: se riscontrate dei problemi con il removal tool, disabilitate il Ripristino configurazione di sistema (Pannello di controllo/sistema) e riavviate il pc in modalità provvisoria. A questo punto eseguite il remover tool.

Approfondimenti
Microsoft Security Bulletin MS03-026
Notizie da Symantec

---------
Si ringrazia Giusty13, max79, ceccus, Mc_Gyver, wolly, Tere per i suggerimenti e per i feedback (tali ringraziamenti valgono anche per chi non è stato citato per dimenticanza).

Per ulteriori delucidazioni/precisazioni usate il forum di Driver Italia.