Информационный портал районов - Западный Административный Округ - Ново-Переделкино, Солнцево
Районные новости

Worm.Win32.Lovesan
17.08.2003 Текст: kompo

Worm.Win32.Lovesan - это вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026. Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe". Содержит текстовые строки: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Признаками заражения компьютера являются:
  1. Наличие файла "msblast.exe" в системном (system32) каталоге Windows.
  2. Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
Размножение При запуске червь регистрирует себя в ключе автозапуска: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun windows auto update="msblast.exe" Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров. После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса: 20.40.50.0 20.40.50.1 20.40.50.2 ... 20.40.50.19 ----------- пауза 1.8 секунды 20.40.50.20 ... 20.40.50.39 ----------- пауза 1.8 секунды ... ... 20.40.51.0 20.40.51.1 ... 20.41.0.0 20.41.0.1 и так далее. Червь выбирает один из двух методов сканирования IP-адресов:
  1. В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.
  2. В 2 случаях из 5 червь сканирует подсеть. Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444. После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение. После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться. C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу. Утилита для удаления червя (только для пользователей сети Лукинка): clrav Данная программа ищет и пытается удалить след. вирусы: I-Worm.BleBla.b I-Worm.Navidad I-Worm.Sircam I-Worm.Goner I-Worm.Klez.a,e,f,g,h Win32.Elkern.c I-Worm.Lentin.a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p I-Worm.Tanatos.a,b Worm.Win32.Opasoft.a,b,c,d,e,f,g,h I-Worm.Avron.a,b,c,d,e I-Worm.LovGate.a,b,c,d,e,f,g,h,i,j,k,l I-Worm.Fizzer I-Worm.Magold.a,b,c,d,e Worm.Win32.Lovesan Последовательность действий (файлы доступны только для пользователей сети Лукинка): 1. Качаем патч для win2000: русская версия, английская версия или для win xp русская версия. 2. Ставим патч. 3. Запускаем утилитку для уничтожения червя в системе.


Заметок к статье: 6

Комментировать через facebook


Ссылки по теме:
В Западном округе столицы снижены показатели заболеваемости кишечными вирусами, 12.02.2004
Вниманию пользователей локальной сети! Новая эпидемия: I-Worm.Novarg (Mydoom), 27.01.2004

Поиск
 


Последние новости

08.12.2014 Мэр открыл новую станцию московского метро "Тропарево"

05.12.2014 Киевское направление железной дороги может заработать как наземное метро

05.12.2014 В эти выходные Сокольническую ветку метро частично закроют

24.11.2014 В Москву прибыл проходческий комплекс, предназначенный для прокладки тоннелей метро от станции «Рассказовка»

24.11.2014 Турнир по настольному хоккею в районе Ново-Переделкино

Самые читаемые за неделю


О проекте
© 2003—2017 Информационный портал НовоПеределкино.ru
Написать письмо администрации сайта