Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Vírusok és férgek Vírusleírások


LovSan

Nyomtatható verzió Nyomtatható verzió

név / család / csoport LovSan
névváltozatok MSBlast, Lovsun, Blaster, Poza
származás -
méret 6176 byte
típus Féreg
terjedés RPC
büntető rutin -
mentesíthetőség Igen (Segédprogram)
variánsok -
platform Windows
felfedezve 2003-08-11
eltávolítás A kártevőt az F-Secure, Trend Micro és Kaspersky Antivirus programok a 2003. augusztus 12-én délutáni vagy újabb frissítésekkel már felismerik.
megjegyzés -

2003. augusztus 11-én európai idő szerint este figyeltek fel az új féregre, amely Microsoft ellenes üzenetet hordoz. Mára az F-Secure cég figyelmeztető rendszere a legmagasabb, Radar 1-es szintre emelte a kártevőre vonatkozó vírusriasztást.

A LovSan az NT alapú (Windows NT4, 2000, XP, 2003.NET) rendszerekben található RPC/DCOM szolgáltatás július közepe óta ismert, rendkívül súlyos biztonsági hiányosságát használja ki. A kártevő elleni védekezésben a vírusismeret frissítésével azonos fontosságú, hogy a hiba javítása érdekében azonnal alkalmazzuk a Microsoft által kibocsátott patch fájlokat, amelyek az angol és nemzeti nyelvi változatú kiadásokhoz itt találhatók:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

Fertőzés módja
A mindössze 6176 bájt méretű (kitömörítve 11 kB-nyi) msblast.exe fájl lefuttatásakor bemásolja magát a rendszermappába (általában C:\Windows\System32 vagy C:\WINNT\System32) és létrehoz a
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ windows auto update =
helyen egy kulcsot, így a féreg minden rendszerindításkor betöltődik. A többszörös fertőzést a memóriában egy BILLY nevű kizárás (ún. mutex) létrehozásával akadályozza meg.

Terjedés
A LovSan közvetlenül a hálózaton keresztül terjed. Egyszerre 20, folytonosan elhelyezkedő távoli IP-címet vizsgál meg sebezhető gépek után kutatva, két másodpercet vár, majd újabb 20 gépen próbálkozik. Megkísérel kapcsolódni a távoli rendszer 135-ös portjához, ha ez sikeres, véletlenszerűen választ két értéket, majd ezeket inputként felhasználva lefuttatja a többféle DCOM exploit egyikét, amellyel hozzáférést szerez a géphez. A víruskód továbbítására a LovSan saját, beépített TFTP szervert alkalmaz (ez egy UDP-alapú, nagyon egyszerű fájlátviteli protokoll), az adatokat a távoli gépen a Windows 2000/XP rendszerekbe gyárilag beépített FTPS kliens dolgozza fel. A felmásolt fájlt a féreg shell hozzáférés segítségével a 4444-es porton keresztül automatikusan lefuttatja.

A terjedés logikája érdekes, a féreg véletlen kiindulóponttal, szekvenciálisan keresi végig a sebezhető hostokat. A LovSan 1 és 20 közti véletlen szám választásával dönti el, hogy a keresés kiindulópontja a fertőzött gép saját címe legyen (ha a szám 12 vagy nagyobb), vagy pedig tetszőleges IP címet választ. Tekintsük az IP címeket A.B.C.D alakban:
Ha a saját címéből indul ki, D értéke mindig nulla és a féreg vigyáz arra, hogy a C tag értéke 21 alatt legyen; ha nem, kivon belőle 20-at. Ha véletlen címtől indul, az alábbi feltételekkel választ:
A értéke 1-től 254-ig
B értéke 0-tól 253-ig
C értéke 0-tól 253-ig
D értéke mindig 0

Meg nem erősített hírek szerint a féreg képes megakadályozni a hálózati kapcsolat szoftverből történő lebontását. A tűzfalak szerepe fontos a járvány megállításában, mivel a 69, 135-139, 445, 593 és 4444-es UDP/TCP portok blokkolása megvédheti a tűzfal mögött elhelyezkedő helyi hálózatokat a kívülről érkező MSBlast fertőzéstől.

Károkozó rutin
A LovSan egyértelműen Microsoft ellenes üzenetet hordoz, a kódban található rejtett szöveg Bill(y) Gates-t, a szoftvercég elnökét kritizálja.

I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!


A féreg szavakon kívül tettekkel is támad, augusztus 16-tól kezdve az év hátralévő részében mindennap DDoS (elosztott szolgáltatás-megtagadás) típusú támadást indít a Microsoft által üzemeltetett windowsupdate.com cím ellen, másodpercenként 50db 40 bájtos csomaggal bombázva a webhelyet.

A LovSan kártevő számos programozási hibát tartalmaz, ezért a fertőzött XP gépek sokszor hibát jeleznek (RPC service failure), illetve lefagynak. A hálózati terjedés során is gyakran tapasztalható a féreg fájljainak sérülése, a vírusirtó programok gyártói továbbfejlesztett vírusismereti adatbázisokat bocsátanak ki az ilyen, terjedésre már képtelen LovSan.damaged példányok megbízható detektálása érdekében.

2003.08.14. LovSan.b

Technikai szempontból a LovSan.B egyszerű koppintása az eredetinek. Megváltozott a férget hordozó fájl neve (TEEKIDS.EXE, illetve PENIS32.EXE lett a korábbi MBLAST.EXE helyett). A vírusírók a Lovsan.B kódját a korábbi UPX algoritmus helyett FSG-vel tömörítették és megváltoztatták a féregben elrejtett, Microsoft-gyalázó ill. vírusvédelmi fejlesztőket támadó üzenetet. A féregnek ezt az új kiadását a vírusírók egy weblapon is közzétették.

2003.11.05. LovSan.recompiled

Technikai szempontból a 2003. november 5-én felfedezett új LovSan verzió - amely egyelőre nem terjed szabadon - csak abban különbözik a korábbi változattól, hogy az LCC nevű fordítóprogram helyett a MS Visual C compiler 7-es verziójával készült és a fájl belsejéből több, a LovSan.A-ban korábban megtalálható rejtett üzenetet kihagytak a vírusírók.

2004.02.04. LovSan.H

2004. február 3-án fedezték fel a Lovsan (más néven MSBlaster) féreg legújabb változatát, amely szabadon terjed az Interneten. A 6,688 bájt méretű (kicsomagolva 10,976 bájtos) fájl csak kismértékben különbözik a legelső LovSan.A kártevőtől.

A LovSan.H által használt fájlnév megváltozott, értéke "MSCHOST.EXE" lett.

A féreg az alábbi registry kulcsot használja önmaga futtatására:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ shellext.32

A féregbe kódjába rejtett üzenet is módosult:
Can you hear me? I LOVE YOU SAN!!.
Sucky gates why do you made this windows?
Stop fooling around and make good things!!!




Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.