Worm.Win32.Lovesan用C语言编写,利用LCC编译,是Windows PE可执行文件,大小约为6KB(用UPX压缩工具,解压后为11KB)。在被感染的系统者,Lovesan会下载并运行名为blast.exe文件,该文件中有以下的文字:“I just want to say LOVE YOU SAN!! Billy Gates why do you make this possible? Stop making money and fix your software”(我只想说爱你SAN!!比尔·盖茨,为什么你要使这种攻击成为可能?不要再赚更多的钱了,好好修正你的软件吧。)感染病毒后的系统现象:
l在Windows system32文件夹中存在MSBLAST.exe文件
l提示错误信息:RPC服务失败。由此造成系统重新启动。
病毒的传播机制:
Lovesan会在系统每次重启后,在系统注册表中注册以下键值:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runwindows auto update="msblast.exe"
然后蠕虫开始扫描网络中的IP地址,随机选择20个IP地址进行连接,并感染有此漏洞的计算机,在间歇1.8秒后再扫描另外的20个IP地址。
Worm.Win32.Lovesan下列方式之一扫描IP地址:
1.在60%的情况下,Lovesan随机选择基本的IP地址(A.B.C.D),其中A、B、C为0-255间的随机值,而D值为零。
2.在其余情况下,Lovesan扫描该子网并获得本地染毒染机器的IP地址。从这些IP地址中取出A和B的值并设置D值为0,然后病毒按下列方式得到C的值:
如果C值小于等于20,Lovesan不作修改。即如果本地的IP地址是207.46.14.1,蠕虫将从207.46.14.0开始扫描。
如果C值大于20,Lovesan会在C和C减去19之间选择一个随机值。即如果染毒机器的IP地址是207.46.134.191,蠕虫将在207.46.{115-134}.0之间扫描。
Worm.Win32.Lovesan将通过TCP 135端口向受害计算机发送缓冲区溢出请求,然后在刚感染的计算机上开启TCP 4444端口启动远程shell。
Lovesan对开启4444端口的连接运行一个线程,等待从受害机器发出FTP的“get”请求。然后Lovesan强迫受害机器发送“FTP get”请求,从而从已染毒的计算机下载蠕虫并运行。这样,受害机器也被感染了。
一旦计算机被感染Lovesan,系统将发送RPC服务失败的出错信息,并可能重新启动计算机。
在2003年8月16日,Lovesan将对微软公司的Windowsupdate.com发起分布式拒绝服务(DDOS)攻击。
手动清除方法:
1.断开网络连接;
2.终止蠕虫程序的msblast.exe进程:对于Windows 95/98/ME系统,按CTRL+ALT+DELETE;对于Windows NT/2000/XP系统,按CTRL+SHIFT+ESC,选择进程标签页;
3.在运行的程序列表中,查找MSBLAST.EXE进程并终止此进程;
4.点击“开始”“运行”,输入Regedit,点击“确认”按钮,打开注册表管理器窗口;
5.展开注册表的下列项目:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
6.在窗口右边的列表中删除键值:Windows auto update = MSBLAST.EXE
病毒防范:如果你无法安装系统补丁,
在防火墙中禁止端口69、135、4444:端口135用于启动与远程计算机的RPC连接。在防火墙中禁止端口135有助于防止有人企图利用此漏洞攻击防火墙后面的系统。
Internet连接防火墙:如果您使用Windows XP或Windows Server 2003中的Internet连接防火墙功能来帮助保护您的Internet连接,则默认情况下,它将禁止来自Internet的入站RPC通信。
在所有未打补丁的计算机上禁用DCOM:当计算机属于某个网络的一部分时,DCOM网络协议可使该计算机上的COM对象能够与其他计算机上的COM对象通信。您可以对特定的计算机禁用DCOM以帮助防范他人利用此漏洞发动的攻击,但这将使该计算机上的对象无法与其他计算机上的对象通信。如果在远程计算机上禁用DCOM,则无法远程访问该计算机以重新启用DCOM。