⑴ 我的「卡巴斯基殺毒軟體」一直顯示網路攻擊lovesan
蠕蟲病毒 Worm.W32.Lovsan 正以其驚人的速度和破壞力在互聯網上蔓延
全球著名數據安全公司 Kaspersky Labs 公司最新宣布:一種名為" Worm.W32.Lovsan "的
互聯網蠕蟲病毒正在迅速傳播,該病毒的危險性極大。僅數小時,"Lovesan"病毒已迅速攀
升到惡性流行病毒排行榜的三甲位置。Kaspersky Labs 病毒專家強烈建議廣大用戶立即從
微軟網站下載相關 補丁程序,盡快阻止69、135、4444埠。
Lovesan是利用微軟的DCOM RPC漏洞(具體描述請參考MS Security Bulletin MS03-026)
進行傳播的網路蠕蟲病毒。
Lovesan用C語言編寫,利用LCC編譯,是Windows PE 可執行文件,大小約為6KB(用UPX壓
縮工具,解壓後為11KB)。
Lovesan企圖去下載安裝msblast.exe文件,該文件有以下的文本
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible? Stop making money and fix your soft
ware!!
被感染後的徵兆:
· 在Windows system32文件夾中有MSBLAST.Exe文件
· 提示錯誤信息:RPC服務失敗,系統重啟。
傳 播
Lovesan會在系統每次重啟後,在系統注冊表中注冊以下鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"
該蠕蟲會掃描網路中的其它機器,企圖感染有此漏洞的PC,它隨機選擇任意的20個IP地址
,然後在間隔1.8秒後再去感染它任意選擇的另外20個IP地址,Lovesan以以下的方式選擇
要掃描IP地址:
1約3/5概率,Lovesan會對IP地址(A.B.C.D)各個位置分別置值,A、B、C的數值在0-255
之間隨機選擇,D段置零。
2. 約2/5概率,Lovesan會掃描感染機器上的本網段的IP地址。A和B的值與本網段相同,D
值設為0,C的值以以下的方式產生:
如果本網路的C值小於20,那麼lovesan不修改這個值,如,現在本網段的IP地址是20
7.46.14.1,則該蠕蟲將掃描從207.46.14.0開始的網段。
如果C值大於20,那麼Lovesan則在1-19之間選擇一個數值,如,本網段被感染機器的
IP地址是207.46.134.191,那麼該蠕蟲將在207.46.{115-134}.0之間掃描。
Lovesan將通過TCP 135埠發送造成對方計算機緩沖區溢出的請求,被感染的計算機將開
放TCP 4444埠,打開相應的command 界面。
Lovesan對開放4444埠的計算機強行運行FTP的'get'請求,這樣從感染的計算機上就下載
了蠕蟲病毒,如此,有漏洞的PC也隨之感染。
其它信息
一旦感染上Lovesan,它將發送RPC服務失敗的信息並重新啟動計算機。
到2003年8月13日,Lovesan將對Windowsupdate.com網站發起DDOS攻擊。
==================================================================
Worm.Win32.lovesan 病毒解決方案
病毒名稱:Worm.Win32.lovesan
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:網路/RPC漏洞
依賴系統: WINDOWS 2000/XP/2003
病毒尺寸:6,176 位元組
病毒發作現象:
Worm.win32.lovesan 病毒是利用微軟公司在7月21日公布的RPC漏洞進行傳播的,只要是計
算機上有RPC服務並且沒有打安全補丁的計算機都存在有RPC漏洞(RPC DCOM緩沖溢出漏洞的
詳細信息, 請訪問以下微軟網頁: http://www.microsoft.com/technet/treeview/?url=/
technet/security/bulletin/MS03-026.asp),具體涉及的操作系統是:Windows2000、XP
、Server 2003。該病毒感染系統後,會使計算機產生下列現象:系統資源被大量佔用,有
時會彈出RPC服務終止的對話框,並且系統反復重啟, 不能收發郵件、不能正常復制文件、
無法正常瀏覽網頁,復制粘貼等操作受到嚴重影響,DNS和IIS服務遭到非法拒絕等。
下面是彈出RPC服務終止的對話框的現象:
病毒詳細說明:
1. 病毒運行時會將自身復制到window目錄下,並命名為: msblast.exe。
2. 病毒運行時會在系統中建立一個名為:"BILLY"的互斥量,目的是病毒只保證在內存中
有一份病毒體,為了避免用戶發現。
3. 病毒運行時會在內存中建立一個名為:"msblast.exe"的進程,該進程就是活的病毒體
。
4. 病毒會修改注冊表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe
rsion\Run中添加以下鍵值:"windows auto update"="msblast.exe",以便每次啟動系統
時,病毒都會運行。
5. 病毒體內隱藏有一段文本信息:I just want to say LOVE YOU SAN!!billy gates wh
y do you make this possible ? Stop making money and fix your software!!
6. 病毒會以20秒為間隔,每20秒檢測一次網路狀態,當網路可用時,病毒會在本地的UDP
/69埠上建立一個tftp伺服器,並啟動一個攻擊傳播線程,不斷地隨機生成攻擊地址,進
行攻擊,另外該病毒攻擊時,會首先搜索子網的IP地址,以便就近攻擊。
7. 當病毒掃描到計算機後,就會向目標計算機的TCP/135埠發送攻擊數據。
8. 當病毒攻擊成功後,便會監聽目標計算機的TCP/4444埠作為後門,並綁定cmd.exe。
然後蠕蟲會連接到這個埠,發送tftp命令,回連到發起進攻的主機,將msblast.exe傳到
目標計算機上並運行。
9. 當病毒攻擊失敗時,可能會造成沒有打補丁的Windows系統RPC服務崩潰,Windows XP系
統可能會自動重啟計算機。該蠕蟲不能成功攻擊Windows Server2003,但是可以造成Wind
ows Server2003系統的RPC服務崩潰,默認情況下是系統反復重啟。
10. 病毒檢測到當前系統月份是8月之後或者日期是15日之後,就會向微軟的更新站點"wi
ndowsupdate.com"發動拒絕服務攻擊,使微軟網站的更新站點無法為用戶提供服務。
清除步驟 :
1. 刪除注冊表中的自啟動項目
刪除注冊表中的自啟動項目可以阻止惡意程序在系統啟動時運行
●單擊 開始>運行, 輸入 Regedit, 然後按 Enter 鍵打開注冊表管理器
●在左邊的列表中雙擊以下項目:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
●在右邊的列表中查找並刪除以下項目
Windows auto update" = MSBLAST.EXE
● 關閉注冊表編輯器.
2. 應用補丁
1. 建議所有受影響的用戶安裝微軟在以下連接發布的補丁程序:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03
-026.asp
(註:在打此補丁程序前,請確認該計算機系統已打補丁到SP2以上,否則無法安裝)
3. 終止惡意程序
此步驟用於中止內存中運行的惡意程序進程。
●打開Windows任務管理器
CTRL+SHIFT+ESC,然後單擊進程選項卡
●在運行的程序清單中*, 查找如下進程:
MSBLAST.EXE
●選擇惡意程序進程,然後按"終止任務"或是"中止進程"按鈕。
●為確認惡意程序進程是否中止,請關閉任務管理器並再次打開
● 關閉任務管理器
(如果無法終止惡意進程,請在打好系統補丁後重新啟動系統)
4.升級您的病毒軟體,全面掃描磁碟文件,清除病毒。
問答:
1. Lovesan, Lovsan, Blaster, Msblast and Poza這些病毒有何區別?
沒有任何區別-以上這些名稱是同一病毒的不同名字,Kaspersky Labs反病毒專家統一將其
命名為Win32.worm.Lovesan,目前Lovesan病毒有三個變種,一些病毒廠商將其分別標識為
'a'、'b'、'c'。
2. 如何判斷我的計算機已感染了Lovesan病毒?
可以從以下的現象看到端倪:
o 在系統目錄(通常是在C:\Windows\Systems32\)中看到以下文件Msblast.exe, Teekid
s.exe or Penis32.exe
o 機器異常地頻繁重啟
o 使用Word、Excel或Outlook出現一些問題或錯誤提示
o Svchost.exe文件錯誤提示信息
o RPC服務失敗調用的信息(如下圖所示)
3. Lovesan病毒會對我的計算機造成什麼樣的破壞?
Lovesan不會對個人計算機造成致命的破壞,它即不刪除也不改變或竊取入侵計算機的數據
,Lovesan的破壞性主要在於通過大量的病毒復制,造成全球信息流的擁塞,及WWW服務的
降低。
Lovesan會造成計算機負載增加,並在8月16日對Windowsupdate.com網站發起DdoS攻擊,這
樣,用戶將喪失從微軟升級站點下載補丁的機會。
Kaspersky Labs繼續強烈建議用戶在8月16日之前下載微軟提供的相關補丁。
4. Lovesan會攻擊那些版本的Windows操作系統?
Lovesan會攻擊 Windows NT, 2000 and XP以下版本:
a) Windows NT 4.0 Server
b) Windows NT 4.0 Terminal Server Edition
c) Windows 2000
d) Windows XP 32 bit Edition
e) Windows XP 64 bit Edition
f) Windows Server 2003 32 bit Edition
g) Windows Server 2003 64 bit Edition
5. 我怎麼樣才能保護我的計算機免受病毒的破壞?
按以下步驟操作可加固你的計算機:
a) 升級病毒資料庫並保證在訪問互聯網時它處於實時監控狀態
b) 阻止防火牆69、135、4444 這三個埠
c) 下載安裝微軟修補DCOM RPC漏洞的補丁
注意:安裝微軟的補丁是至關重要的,它可以保護你的計算機抵抗所有有關DCOM RPC漏洞
而發起的攻擊。
6. 對於Lovesan病毒,防火牆能做什麼?
防火牆能過濾惡意程序並阻止未授權的訪問,對於網關級的防火牆請關閉135、69、4444端
口,對於使用個人版防火牆的用戶也要採取類似的配置。
7. 因為我的計算機頻繁地重啟,所以無法下載微軟的補丁,怎麼辦?
如果你的計算機頻繁重啟,及有可能已感染了Lovesan病毒,在這種情況下你需要將系統目
錄(通常是c:\Windows\System32\)下的TFTP.EXE文件重命名,並檢查Windows\System32
\dllcache文件無誤,在下載安裝完微軟的相關補丁後,需將已改名的TFTP.EXE恢復到原來
的名字。
8. 如果我的計算機已經感染了Lovesan病毒,我該怎麼做?
首先你需要運行反病毒程序,並確保現在的病毒資料庫可以查殺Lovesan病毒。
Kaspersky Labs提供專殺工具,它即能刪除本地硬碟,也能刪除網路驅動器中的病毒文件
,同時它完全刪除系統注冊表中的病毒更改的鍵值,一旦清除Lovesan病毒後,系統重啟。
並在重啟後請隨即啟動反病毒保護。
從以下鏈接下載專殺工具:
· Zipped 版:
ftp://ftp.kaspersky.com/utils/clrav.zip
· 解壓版:
ftp://ftp.kaspersky.com/utils/clrav.com
· 工具說明:
ftp://ftp.kaspersky.com/utils/clrav_ReadMe.txt
9. 我使用Lovesan的專殺工具,但是我的計算機又重復被感染,為什麼?
這個工具僅僅能清除Lovesan病毒,但是它不能保護你的計算機會再次遭受到類似的攻擊,
如何長期有效避免,請參考第5條FAQ。
--
當你的電腦被病毒或者木馬侵害的時候,請到virus版。
如果你受益於virus版,那麼今後就請你幫助你的病友們,因為你深知他們所處的境地。
如果virus版未能如你所願,那麼也請你為了他們,將後來跟病毒斗爭的經驗告訴他們。
當你對病毒反病毒技術感興趣的時候,請到virus版。共同提高、共同關心計算機安全。
virus版需要每一位網友的支持!