Erschienen während des Sommers 2003 das Virus LovSan (ebenfalls bekannt unter den Namen W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) ist das erste Virus, den Fehler RPC/DCOM zu nutzen (Remote Procedure Call, das heißt auf französisch Aufruf entfernten Verfahrens) Systeme Microsoft Windows, ermöglicht die entfernten Vorgänge mit zu teilen. Ein böswilliges Programm (wie das LovSan-Virus) nutzt den Fehler dank des Überlaufsstempels, und kann die Kontrolle des angegriffenen Gerätes nehmen. Die betroffenen Systeme sind die Systeme Windows NT 4.0 2000 XP und Windows Server 2003.
Der Wurm LovSan / Blaster Ist in einer solchen Art und Weise programmiert zu scannen von unendlichenIP Adressen zufallsbedingt auf der Suche nach Systemen, die am rpc-Fehler greifbar sind, auf port135
Wenn ein eingegiffenes Gerät gefunden wird, eröffnet der Wurm eine entfernte Shell auf dem portTCP 4444 und zwingt das angegriffene Gerät, eine Kopie des Wurms im Verzeichnis herrunterzuladen %WinDir%\system32 indem man einen Auftrag einführtTFTP (port69 UDP) um die ausgehend Datei von dem infizierten Gerät zu übertragen.
Sobald die herruntergeladene Datei ausgeführt wird,schafft er sich Eingänge in der Basis des Verzeichnisses,um sich automatisch bei jedem Neustart einzulenken :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Um die Tabelle zu vervollständigen, ist der Virus LovSan/Blaster vorgesehen, um einen Angriff auf dem Dienst durchzuführen WindowsUpdate von Microsoft, um die Aktualisierung des angegriffenem Gerätes zu stören!!
Der Betrieb der angegriffenem RPC- verursacht auf den betroffenen Systemen, eine gewisse Anzahl an Funktionsstörungen die an das RPC-Dienstes gebunden wurden (Prozess svchost.exe / rpcss.exe). Die angegriffenen Systeme stellen die folgenden Symptome vor :
Windows sollte jetzt neustarten, denn der Dienstaufruf entfernten Verfahrens (RPC), ist unerwartet zu Ende gegangen
das System wird in 60 Sekunden beendet, speichern Sie bitte alle in Ausführung befindlichen Arbeiten. Diese Beendung wird von Autorite NT/SYSTEM vermerkt. durch AUTORITÄT NT \ SYSTEM, Windows muss jetzt neugestartet werden.
Um den LovSan-Wurm zu löschen, besteht die beste Methode darin zunächst, das System mittels des folgenden Desinfektionssatzes zu desinfizieren :
Den Desinfektionssatz herunterladen
Wenn Ihr System reboote andauernd , muß man den automatischen Neustart deaktivieren :
Sie können diese Option wiederherstellen, wenn Ihr System erneut normalerweise funktionieren wird.
shutdown -a
Es ist danach unentbehrlich, das System mittels des Dienstes auf den neuesten Stand zu bringen Windows Update oder indem man Ihr System mit dem patch nach Korrespondenten an Ihrem Betriebssystem auf den neuesten Stand bringt :
Andererseits, so weit der Virus sich über das Netz Microsoft Windows verbreitet, Es wird dringend empfohlen ein Persönliches Fire-Wall zu installierenan Geräten, die an Internet angeschlossen wurden und die ausgefilterten portstcp/69, tcp/135 à tcp/139 et tcp/4444.
