Technikai szempontból a LovSan.B egyszerű koppintása az eredetinek. Megváltozott a férget hordozó fájl neve (TEEKIDS.EXE, illetve PENIS32.EXE lett a korábbi MBLAST.EXE helyett). A vírusírók a Lovsan.B kódját a korábbi UPX algoritmus helyett FSG-vel tömörítették és megváltoztatták a féregben elrejtett, Microsoft-gyalázó ill. vírusvédelmi fejlesztőket támadó üzenetet. A féregnek ezt az új kiadását a vírusírók egy weblapon is közzétették.
Az F-Secure Anti-Virus “Freshbind.20” és “Backdoor.Lithium.10” néven riaszt az új LovSan.B változat által használt fájlokra. A Kaspersky AV termékek “LovSan” általános megjelöléssel külön frissítés nélkül is detektálják mind az eredeti, mind az új “B” változatú kártevőt, az altípusok név szerinti azonosítására képes adatbázis hamarosan megjelenik.
Hogyan mentsük LovSan vírussal fertőzött gépünket?
• Győződjünk meg arról, hogy a gépünk valóban fertőzésre utaló jeleket mutat! Amennyiben lefagyások tapasztalhatók, vagy a hálózati kapcsolat (modem) lebontása akadályokba ütközik, gyanakodhatunk. Jellemző tünet a Remote Procedure Call (RPC) vagy SVCHost szolgáltatás hibájára utaló felbukkanó ablak, azonban ez nem feltétlenül jelenti a gép megfertőződését. Sajnos egyes Windows 2000 / XP gépek már a távolról érkező fertőzési kísérletre is lefagynak A legbiztosabb jel az, ha a Windows rendszerkönyvtárban megtalálható az “msblast.exe / penis32.exe /teekids.exe” féregfájlok valamelyike.
Tapasztalatok szerint a LovSan jelenleg ismert változata a Windows NT4-es vagy 2003.NET operációs rendszert futtató gépeket nem tudja megfertőzni, bár az alapvető RPC/DCOM hiba ezekben is megtalálható. A Microsoft által kibocsátott javítás ezen platformokra is elérhető az alábbi címen: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
• Amennyiben a gép valóban fertőzött, indítsuk (újra) a rendszert. Ha a gép a Windows indulása után felbukkanó ablakban elkezd visszaszámolni egy újabb újraindításhoz, ezt gyorsan akadályozzuk meg, amire hatvan másodpercünk van. Írjuk be a Start Menü / Futtatás alá a “shutdown -a” parancsot és futtassuk le.
• Győződjünk meg arról, hogy a gépünk a legújabb szervizcsomagot futtatja-e? Windows 2000 esetén SP4, Windows XP esetén SP1 szükséges.Amennyiben szervizcsomagot kell telepítenünk a gépre, húzzuk ki a helyi hálózat és a modem csatlakozóját, nehogy ez idő alatt fertőződjön meg a gépünk!
• Ha a szervizcsomag-szint megfelelő, töltsük le és futtassuk a Microsoft által kiadott utólagos javítást (hotfix), amely megakadályozza a féreg által saját terjesztésére felhasznált Windows hiba további alkalmazását. (Figyelem! Amennyiben megfelelő servicepack nélkül telepítjük fel a hotfix javítást, az a tapasztalatok szerint nem nyújt megfelelő védelmet!)
• Win2000 esetén innen választhatjuk ki a megfelelő nyelvű hotfix csomagot:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
• WinXP esetén innen választhatjuk ki a megfelelő nyelvű hotfix csomagot:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
• A javítás futtatása után újra kell indítani a gépet. Sajnos bizonyos Windows változatok esetén még a feltelepített hotfix sem garantálja, hogy a gépünkre érkező RPC-feltörési próbálkozások hatására a rendszer nem áll le, azonban a káros kód végrehajtását (a tényleges megfertőződést) a javítás megakadályozza.
• Futtassuk az F-Secure által készített ingyenes LovSan mentesítő segédprogramot, amely memóriában, lemezen és a registry-ben irtja a féreg eredeti, Lovsan.A változatát:
ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
• Hálózati környezetben központilag telepíthető változata is elérhető, innen:
ftp://ftp.f-secure.com/support/tools/f-Lovsan/LovsanTool_signed.jar )
• A segédprogram által végzett módosításokat a Windows könyvtárban található
“F-Lovsan.log” fájl fogja tartalmazni.
• Amennyiben nem kívánunk segédprogramot használni, vagy az újabb LovSan.B változat által fertőzött gépet mentesítünk, az alábbiak szerint járjunk el:
• Windows XP esetén kapcsoljuk ki a System Restore szolgáltatást, az alábbi képes instrukciók szerint: http://www.f-secure.com/v-descs/sfc_dis1.shtml
• A Feladatkezelő alkalmazás behívásával (Ctrl+Alt+Del gombok) állítsuk le az “msblast.exe”, “teekids.exe”, “penis32.exe” folyamatokat a memóriában.
• Töröljük az msblast.exe / teekids.exe / penis32.exe fájl(oka)t a Windows rendszerkönyvtárából (többnyire C:WindowsSystem32 vagy C:WINNTSystem32).
• Töröljük az alábbi registry kulcsot “HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunwindows auto update”
• Frissítsük a gépre telepített Windows-os víruskereső program vírus-ismereti adatbázisát. Javasolt, hogy ezután végezzünk az összes fájlra kiterjedő víruskeresést az összes merevlemezen; amellyel meggyőződhetünk arról, hogy nincsen további kártékony program a gépen.
Nézd meg a legfrissebb cikkeinket a címlapon!
