全球著名數據安全公司 Kaspersky Labs 公司最新宣布:壹種名為" Worm.W32.Lovsan "的
互聯網蠕蟲病毒正在迅速傳播,該病毒的危險性極大。僅數小時,"Lovesan"病毒已迅速攀
升到惡性流行病毒排行榜的三甲位置。Kaspersky Labs 病毒專家強烈建議廣大用戶立即從
微軟網站下載相關 補丁程序,盡快阻止69、135、4444端口。
Lovesan是利用微軟的DCOM RPC漏洞(具體描述請參考MS Security Bulletin MS03-026)
進行傳播的網絡蠕蟲病毒。
Lovesan用C語言編寫,利用LCC編譯,是Windows PE 可執行文件,大小約為6KB(用UPX壓
縮工具,解壓後為11KB)。
Lovesan企圖去下載安裝msblast.exe文件,該文件有以下的文本
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible? Stop making money and fix your soft
ware!!
被感染後的征兆:
· 在Windows system32文件夾中有MSBLAST.Exe文件
· 提示錯誤信息:RPC服務失敗,系統重啟。
傳 播
Lovesan會在系統每次重啟後,在系統註冊表中註冊以下鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"
該蠕蟲會掃描網絡中的其它機器,企圖感染有此漏洞的PC,它隨機選擇任意的20個IP地址
,然後在間隔1.8秒後再去感染它任意選擇的另外20個IP地址,Lovesan以以下的方式選擇
要掃描IP地址:
1約3/5概率,Lovesan會對IP地址(A.B.C.D)各個位置分別置值,A、B、C的數值在0-255
之間隨機選擇,D段置零。
2. 約2/5概率,Lovesan會掃描感染機器上的本網段的IP地址。A和B的值與本網段相同,D
值設為0,C的值以以下的方式產生:
如果本網絡的C值小於20,那麽lovesan不修改這個值,如,現在本網段的IP地址是20
7.46.14.1,則該蠕蟲將掃描從207.46.14.0開始的網段。
如果C值大於20,那麽Lovesan則在1-19之間選擇壹個數值,如,本網段被感染機器的
IP地址是207.46.134.191,那麽該蠕蟲將在207.46.{115-134}.0之間掃描。
Lovesan將通過TCP 135端口發送造成對方計算機緩沖區溢出的請求,被感染的計算機將開
放TCP 4444端口,打開相應的command 界面。
Lovesan對開放4444端口的計算機強行運行FTP的'get'請求,這樣從感染的計算機上就下載
了蠕蟲病毒,如此,有漏洞的PC也隨之感染。
其它信息
壹旦感染上Lovesan,它將發送RPC服務失敗的信息並重新啟動計算機。
到2003年8月13日,Lovesan將對Windowsupdate.com網站發起DDOS攻擊。
==================================================================
Worm.Win32.lovesan 病毒解決方案
病毒名稱:Worm.Win32.lovesan
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:網絡/RPC漏洞
依賴系統: WINDOWS 2000/XP/2003
病毒尺寸:6,176 字節
病毒發作現象:
Worm.win32.lovesan 病毒是利用微軟公司在7月21日公布的RPC漏洞進行傳播的,只要是計
算機上有RPC服務並且沒有打安全補丁的計算機都存在有RPC漏洞(RPC DCOM緩沖溢出漏洞的
詳細信息, 請訪問以下微軟網頁: /technet/treeview/?url=/
technet/security/bulletin/MS03-026.asp),具體涉及的操作系統是:Windows2000、XP
、Server 2003。該病毒感染系統後,會使計算機產生下列現象:系統資源被大量占用,有
時會彈出RPC服務終止的對話框,並且系統反復重啟, 不能收發郵件、不能正常復制文件、
無法正常瀏覽網頁,復制粘貼等操作受到嚴重影響,DNS和IIS服務遭到非法拒絕等。
下面是彈出RPC服務終止的對話框的現象:
病毒詳細說明:
1. 病毒運行時會將自身復制到window目錄下,並命名為: msblast.exe。
2. 病毒運行時會在系統中建立壹個名為:"BILLY"的互斥量,目的是病毒只保證在內存中
有壹份病毒體,為了避免用戶發現。
3. 病毒運行時會在內存中建立壹個名為:"msblast.exe"的進程,該進程就是活的病毒體
。
4. 病毒會修改註冊表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe
rsion\Run中添加以下鍵值:"windows auto update"="msblast.exe",以便每次啟動系統
時,病毒都會運行。
5. 病毒體內隱藏有壹段文本信息:I just want to say LOVE YOU SAN!!billy gates wh
y do you make this possible ? Stop making money and fix your software!!
6. 病毒會以20秒為間隔,每20秒檢測壹次網絡狀態,當網絡可用時,病毒會在本地的UDP
/69端口上建立壹個tftp服務器,並啟動壹個攻擊傳播線程,不斷地隨機生成攻擊地址,進
行攻擊,另外該病毒攻擊時,會首先搜索子網的IP地址,以便就近攻擊。
7. 當病毒掃描到計算機後,就會向目標計算機的TCP/135端口發送攻擊數據。
8. 當病毒攻擊成功後,便會監聽目標計算機的TCP/4444端口作為後門,並綁定cmd.exe。
然後蠕蟲會連接到這個端口,發送tftp命令,回連到發起進攻的主機,將msblast.exe傳到
目標計算機上並運行。
9. 當病毒攻擊失敗時,可能會造成沒有打補丁的Windows系統RPC服務崩潰,Windows XP系
統可能會自動重啟計算機。該蠕蟲不能成功攻擊Windows Server2003,但是可以造成Wind
ows Server2003系統的RPC服務崩潰,默認情況下是系統反復重啟。
10. 病毒檢測到當前系統月份是8月之後或者日期是15日之後,就會向微軟的更新站點"wi
ndowsupdate.com"發動拒絕服務攻擊,使微軟網站的更新站點無法為用戶提供服務。
清除步驟 :
1. 刪除註冊表中的自啟動項目
刪除註冊表中的自啟動項目可以阻止惡意程序在系統啟動時運行
●單擊 開始>運行, 輸入 Regedit, 然後按 Enter 鍵打開註冊表管理器
●在左邊的列表中雙擊以下項目:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
●在右邊的列表中查找並刪除以下項目
Windows auto update" = MSBLAST.EXE
● 關閉註冊表編輯器.
2. 應用補丁
1. 建議所有受影響的用戶安裝微軟在以下連接發布的補丁程序:
/technet/treeview/?url=/technet/security/bulletin/MS03
-026.asp
(註:在打此補丁程序前,請確認該計算機系統已打補丁到SP2以上,否則無法安裝)
3. 終止惡意程序
此步驟用於中止內存中運行的惡意程序進程。
●打開Windows任務管理器
CTRL+SHIFT+ESC,然後單擊進程選項卡
●在運行的程序清單中*, 查找如下進程:
MSBLAST.EXE
●選擇惡意程序進程,然後按"終止任務"或是"中止進程"按鈕。
●為確認惡意程序進程是否中止,請關閉任務管理器並再次打開
● 關閉任務管理器
(如果無法終止惡意進程,請在打好系統補丁後重新啟動系統)
4.升級您的病毒軟件,全面掃描磁盤文件,清除病毒。
問答:
1. Lovesan, Lovsan, Blaster, Msblast and Poza這些病毒有何區別?
沒有任何區別-以上這些名稱是同壹病毒的不同名字,Kaspersky Labs反病毒專家統壹將其
命名為Win32.worm.Lovesan,目前Lovesan病毒有三個變種,壹些病毒廠商將其分別標識為
'a'、'b'、'c'。
2. 如何判斷我的計算機已感染了Lovesan病毒?
可以從以下的現象看到端倪:
o 在系統目錄(通常是在C:\Windows\Systems32\)中看到以下文件Msblast.exe, Teekid
s.exe or Penis32.exe
o 機器異常地頻繁重啟
o 使用Word、Excel或Outlook出現壹些問題或錯誤提示
o Svchost.exe文件錯誤提示信息
o RPC服務失敗調用的信息(如下圖所示)
3. Lovesan病毒會對我的計算機造成什麽樣的破壞?
Lovesan不會對個人計算機造成致命的破壞,它即不刪除也不改變或竊取入侵計算機的數據
,Lovesan的破壞性主要在於通過大量的病毒復制,造成全球信息流的擁塞,及WWW服務的
降低。
Lovesan會造成計算機負載增加,並在8月16日對Windowsupdate.com網站發起DdoS攻擊,這
樣,用戶將喪失從微軟升級站點下載補丁的機會。
Kaspersky Labs繼續強烈建議用戶在8月16日之前下載微軟提供的相關補丁。
4. Lovesan會攻擊那些版本的Windows操作系統?
Lovesan會攻擊 Windows NT, 2000 and XP以下版本:
a) Windows NT 4.0 Server
b) Windows NT 4.0 Terminal Server Edition
c) Windows 2000
d) Windows XP 32 bit Edition
e) Windows XP 64 bit Edition
f) Windows Server 2003 32 bit Edition
g) Windows Server 2003 64 bit Edition
5. 我怎麽樣才能保護我的計算機免受病毒的破壞?
按以下步驟操作可加固妳的計算機:
a) 升級病毒數據庫並保證在訪問互聯網時它處於實時監控狀態
b) 阻止防火墻69、135、4444 這三個端口
c) 下載安裝微軟修補DCOM RPC漏洞的補丁
註意:安裝微軟的補丁是至關重要的,它可以保護妳的計算機抵抗所有有關DCOM RPC漏洞
而發起的攻擊。
6. 對於Lovesan病毒,防火墻能做什麽?
防火墻能過濾惡意程序並阻止未授權的訪問,對於網關級的防火墻請關閉135、69、4444端
口,對於使用個人版防火墻的用戶也要采取類似的配置。
7. 因為我的計算機頻繁地重啟,所以無法下載微軟的補丁,怎麽辦?
如果妳的計算機頻繁重啟,及有可能已感染了Lovesan病毒,在這種情況下妳需要將系統目
錄(通常是c:\Windows\System32\)下的TFTP.EXE文件重命名,並檢查Windows\System32
\dllcache文件無誤,在下載安裝完微軟的相關補丁後,需將已改名的TFTP.EXE恢復到原來
的名字。
8. 如果我的計算機已經感染了Lovesan病毒,我該怎麽做?
首先妳需要運行反病毒程序,並確保現在的病毒數據庫可以查殺Lovesan病毒。
Kaspersky Labs提供專殺工具,它即能刪除本地硬盤,也能刪除網絡驅動器中的病毒文件
,同時它完全刪除系統註冊表中的病毒更改的鍵值,壹旦清除Lovesan病毒後,系統重啟。
並在重啟後請隨即啟動反病毒保護。
從以下鏈接下載專殺工具:
· Zipped 版:
ftp://ftp.kaspersky.com/utils/clrav.zip
· 解壓版:
ftp://ftp.kaspersky.com/utils/clrav.com
· 工具說明:
ftp://ftp.kaspersky.com/utils/clrav_ReadMe.txt
9. 我使用Lovesan的專殺工具,但是我的計算機又重復被感染,為什麽?
這個工具僅僅能清除Lovesan病毒,但是它不能保護妳的計算機會再次遭受到類似的攻擊,
如何長期有效避免,請參考第5條FAQ。
--
當妳的電腦被病毒或者木馬侵害的時候,請到virus版。
如果妳受益於virus版,那麽今後就請妳幫助妳的病友們,因為妳深知他們所處的境地。
如果virus版未能如妳所願,那麽也請妳為了他們,將後來跟病毒鬥爭的經驗告訴他們。
當妳對病毒反病毒技術感興趣的時候,請到virus版。***同提高、***同關心計算機安全。
virus版需要每壹位網友的支持!
我已經打全了補丁為什麽還是老受到攻擊
如何關閉上面說的69、135、4444這幾個端口?
回答者:wsqquan - 秀才 二級 12-25 14:22
--------------------------------------------------------------------------------
提問者對於答案的評價:
thanks
--------------------------------------------------------------------------------
您覺得最佳答案好不好? 目前有 0 個人評價
50% (0)
50% (0)
其他回答 *** 3 條
去百度搜索壹下天網防火墻,安裝上就行啦。它是壹個:
沖擊波變種病毒
Kaspersky Labs公布Lovesan病毒(沖擊波)又有新的變種出現
Kaspersky Lab反病毒專家預計在短時間內該病毒會重復地在全球規模範圍內發動攻擊,這是因為Lovesan的兩個版本都是利用Windows的同壹個漏洞,這兩個版本病毒可能同時並存在同壹臺機器上。 全球著名數據安全公司Kaspersky Lab反病毒專家預計在短時間內該病毒會重復地在全球規模範圍內發動攻擊,這是因為Lovesan的兩個版本都是利用Windows的同壹個漏洞,這兩個版本病毒可能同時並存在同壹臺機器上。 全球著名數據安全公司Kaspersky Lab反病毒專家預計在短時間內該病毒會重復地在全球規模範圍內發動攻擊,這是因為Lovesan的兩個版本都是利用Windows的同壹個漏洞,這兩個版本病毒可能同時並存在同壹臺機器上。"也就是說,感染第壹個版本Lovesan病毒計算機會隨後被它的第二個修補版本再次感染。
"Kapsersky Labs首席反病毒研究專家Eugene Kaspersky這樣說,"考慮到現在可能有300,000臺機器被感染,那麽這些PC會可能會感染相同數量的計算機,如此重復就會造成不可預計的後果,結果可能會造成全球範圍內的WWW服務器性能大幅下降,這與2003年1月份發生的"Slammer"蠕蟲的結果是壹致的。"
從技術角度上說,新版的"Lovesan"與它的原版區別不大,僅僅是壹些簡單的修改,蠕蟲病毒的載體更換了壹個新的名字(由MSBLAST.EXE換成TEEKIDS.EXE),源代碼使用不同的壓縮格式(由FSG代替為UPX),"版權說明"表述成辱罵微軟和反病毒軟件的文字,如此這些。
使用Kaspersky反病毒軟件的用戶,及時升級病毒數據庫可以確保Lovesan及其變種可以被有效攔截