Opis virusa, ki zaustavlja računalnike Lovsan (Win 2000, XP), svchost,…
Naj napišem na enem mestu vse o tem virusu, čeprav je bilo že kar nekaj napisanega, pa vendar dajmo še enkrat:
Črv Lovsan
Vzdevki: MSBlast, Poza, Blaster
Črv dolžine 6176 znakov se širi v datoteki “msblast.exe” preko napake MS03-026 DCOM/RPC. Pojavila se je tudi verzija ki se širi v datoteki teekids.exe, uporablja kompresijo FSG namesto UPX in vsebuje drugačen “copyright” tekst. Druga varianta je enaka originalni, le da je ime datoteke penis32.exe, pakirana je z UPX in dolžine 7200 znakov.
KAKO GA ODSTRANITI
1. Poženite okužen računalnik.
2. Če se izpiše obvestilo “Shutdown in 60 seconds”, kliknite Start – Run in poženite ukaz ‘shutdown -a’
3. Snemite in poženite Microsoftov popravek napake:
za Windows 2000:
za Windows XP:
Snemite in poženite program F-LOVSAN podjetja F-Secure, ki odstrani črva:
5. Računalnik je čist.
Napaka DCOM/RPC
Lovsan izkoristi napako “Buffer Overrun In RPC Interface”, znano tudi kot DCOM/RPC in MS03-026. Napaka je bila odkrita 16. julija 2003. Daljši opis in popravek je na naslovu:
Računalniki, na katerih je nameščen operacijski sistem Windows XP, se lahko pričnejo ponovno poganjati z napako:
This system is being shut down in 60 seconds by NT Authority/System
due to an interrupted Remote Procedure Call (RPC)
Besedilo je izpisano v jeziku operacijskega sistema Windows.
Napaka se lahko izpiše tudi na računalnikih z operacijskim sistemom Windows 2003. Na Windows XP in 2003 računalnikih se napaka lahko izpiše tudi po namestitvi popravkov.
ŠTEVEC LAHKO USTAVITE. Če se računalnik ponovno poganja, lahko zaustavitev prekinete s klikom na Start – Run in poženete ‘shutdown -a’ ter pritisnete Enter.
Širjenje
Črv okužuje računalnike na zaporednih naslovih z naključno izbranim začetnim naslovom. Algoritem daje prednost računalnikom z IP naslovi v bližini okuženega računalnika.
IP naslovi so naslednje oblike: A.B.C.D
Črv najprej prebere IP naslov okuženega računalnika. Zatem se z izbiro naključne številke med 1 in 20 odloči, ali bo okuževal lokalne ali naključno izbrane računalnike.
Če je naključno izbrana številka večja ali enaka 12, uporabi lokalno številko. Če je C večji od 20, od številke odšteje 20. D je vedno 0.
Če črv izbere naključno številko, se A, B in C generirajo naključno v območjih:
A od 1 do 254
B od 0 do 253
C od 0 do 253
D je vedno 0
Z uporabo teh naslovov Lovsan prične pregledovati računalnike, po 20 zaporednih računalnikov hkrati. Črv se poizkusi povezati na port 135 vseh 20 računalnikov in preverja, če je bila povezava uspešna. Za širjenje preko napake DCOM uporablja dva načina, enega za Windows 2000 in drugega za Windows XP. Če uspe izkoristiti napako, odpre na napadenem računalniku povezavo in z uporabo protokola TFTP (Trivial File Transfer Protocol) skopira svojo kodo. Zatem se na napadenem računalniku požene.
Okužba
Črv se širi v datoteki ‘msblast.exe’, ki jo doda tudi v register:
‘HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update’
Tako se črv požene ob vsakem zagonu sistema Windows.
Napadanje
Od 16. avgusta dalje računalniki okuženi s črvom Lovsan pošiljajo velike količine prometa na naslov windowsupdate.com. Pakete dolžine 40 znakov pošilja vsakih 20 tisočink sekunde na port 80. To lahko povzroči nedelovanje napadenega strežnika.
Črv vsebuje besedila:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Noče….. ne šmergla!
Sicer tole ni za mene ( imam še vedno “dobre, stare win98”) . Ampak moj frend , ki btw nima pojma o winsih ( he,he še jaz ga nimam, kolk bogi je pol šele on, ko je res total analfabet kar se teh stvareh tiče).
Še neki : Nekaj sem bral ….., kaj se bo zgodilo od 16 avg. – torej od jutri, če se do tedaj ne spuca PC ? Nekaj da se bo pošiljalo?
Oh, ja križev pot. Sem bil pr prijatelju. Btw med nama je kar 21 km v eno stran. Takole je: Ima windows XP proffesional v.5.1 SLOVENSKE.
Je pa takole: Našel sem en patch…. ne vem več iz katere strani, v glavnem je za XP profesional. …Naredil sem tako kot je opisano. Najprej sem šel na Moj Računalnik —>desni kllik—> Lastnosti—> obnovitev sistema in tam postavil kljukico pred “izključi obnovitev vseh sistemov”. No ne me prijet za besedo, verjetno piše malce drugače. Sem malce razburjen, malce jezen pa je izpuhtelo iz glave.
V glavnem protivirusnega programa ni bilo. Zato je po približno 2 minutah ven butnilo sporočilo :Sistem se bo zaustavil v 60 sec…….. Pa se je PC ponovno restartal. No pol sem pa instaliral tisti patch, zagnal sem f-lovsan.exe . No potlej sem instaliral Nortona. Začuda je ostal sistem toliko časa stabilen, da je pobral z neta tiste update file. Potlej sem šel na internet, pa spet ista pesem, le v tem primeru je pisalo, da je norton zaznal virus blaster.32.worm ( nekaj takega) in da je infected file imediatly deleted. No pol je sistem ostal stabilen. A vsakič, ko sem ga na novo zagnal , je po cca.. 2 minutah zmeraj padlo ven tisto nortonovo obvestilo.
Seveda sem, da bi preprečil tisto odštevanje sem kliknil Start–zaženi in vtipkal “shutdown-a” a mi je logično vrgel ven, da te datoteke pa ni. Da naj preverim če je pravilno napisana in tako dalje… Skratka , eno veliko s….
Kaj zdaj. Ali ga bo treba peljati na servis? Nekaj tukaj ne štima!!!
Aja , protivirusnega programa ni bilo na PC-ju zato, ker je dal na servis PC , da so mu instalirali namesto win98 ….Xp, pa so mu pozabili nazaj dati Nortona. Ker pa ima on pojma o PC-jih za -10, je seveda bil lepo brez.
Forum je zaprt za komentiranje.