A LovSan – alias: MSBlast, Lovsun, Blaster, Poza – az NT alapú (Windows NT4, 2000, XP, 2003.NET) rendszerekben található RPC/DCOM szolgáltatás július közepe óta ismert, rendkívül súlyos biztonsági hiányosságát használja ki. A kártevő elleni védekezésben a hiba javítása érdekében érdemes azonnal alkalmazni a Microsoft által kibocsátott patch fájlokat, amelyek az angol és nemzeti nyelvi változatú kiadásokhoz az alábbi link alatt található: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
A mindössze 6176 bájt méretű (kitömörítve 11 kB-nyi) “msblast.exe” fájl lefuttatásakor bemásolja magát a rendszermappába (általában C:WindowsSystem32 vagy C:WINNTSystem32) és létrehozza a ‘HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunwindows auto update’ nevű registry kulcsot, így a féreg minden rendszerindításkor betöltődik. A többszörös fertőzést a memóriában egy “BILLY” nevű kizárás (ún. mutex) létrehozásával akadályozza meg.
A LovSan közvetlenül a hálózaton keresztül terjed. Egyszerre 20, folytonosan elhelyezkedő távoli IP-címet vizsgál meg sebezhető gépek után kutatva. Megkísérel kapcsolódni a távoli gép 135-ös portjához, ha ez sikeres, véletlenszerűen választ két értéket, majd ezeket bemenetként felhasználva lefuttatja a többféle DCOM exploit egyikét, amellyel hozzáférést szerez a géphez. A víruskód továbbítására a LovSan saját, beépített TFTP szervert alkalmaz (ez egy UDP-alapú, nagyon egyszerű fájlátviteli protokoll), az adatokat a távoli gépen a Windows 2000/XP rendszerekbe gyárilag beépített FTPS kliens dolgozza fel. A felmásolt fájlt a féreg shell hozzáférés segítségével automatikusan lefuttatja.
A terjedés logikája érdekes, a féreg véletlen kiindulóponttal, szekvenciálisan keresi végig a sebezhető hostokat. A LovSan 1 és 20 közti véletlen szám választásával dönti el, hogy a keresés kiindulópontja a fertőzött gép saját címe legyen (ha a szám 12 vagy nagyobb), vagy pedig tetszőleges IP címet választ. Tekintsük az IP címeket A.B.C.D alakban: Ha a saját címéből indul ki, D értéke mindig nulla és a féreg vigyáz arra, hogy a C tag értéke 21 alatt legyen; ha nem, kivon belőle 20-at. Ha véletlen címtől indul, az alábbi feltételekkel választ:
A értéke 1-től 254-ig
B értéke 0-tól 253-ig
C értéke 0-tól 253-ig
D értéke mindig 0
Meg nem erősített hírek szerint a féreg képes megakadályozni a hálózati kapcsolat szoftverből történő lebontását. A tűzfalak szerepe fontos a járvány megállításában, mivel a 135-ös UDP/TCP port blokkolása megvédheti a tűzfal mögött elhelyezkedő helyi hálózatokat a kívülről érkező MSBlast fertőzéstől.
A LovSan egyértelműen Microsoft ellenes üzenetet hordoz, a kódban található rejtett szöveg Bill(y) Gates-nek, a szoftvercég elnökének szól.”I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!”
A féreg szavakon kívül tettekkel is támad, augusztus 16-tól kezdve az év hátralévő részében mindennap DDoS (elosztott szolgáltatás-megtagadás) típusú támadást indít a Microsoft által üzemeltetett <80>
Nézd meg a legfrissebb cikkeinket a címlapon!
