Presentazione del virus LovSan

Apparso nell'estate del 2003, il virus LovSan (conosciuto anche con il nome W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) è il primo virus a sfruttare la falla RPC/DCOM (Remote Procedure Call, ossia in italiano chiamata da procedura remota) dei sistemi Microsoft Windows che permettono a dei processi distanti di comunicare. Sfruttando la falla mediante superamento del buffer, un programma malintenzionato (come il virus LovSan) può prendere il controllo del terminale vulnerabile. I sistemi infettati sono gli Windows NT 4.0, 2000, XP e Windows Server 2003.

Le azioni del virus

Lo worm LovSan / Blaster è un programma capace di scannerizzare un elenco di indirizzi IP aleatorio alla ricerca dei sistemi vulnerabili alla falla RPC sulla porta 135.

Quando trova un terminale vulnerabile, lo worm apre uno shell da remoto sulla porta TCP 4444, e forza il terminale distante a scaricare una copia dello worm nella cartella %WinDir%\system32 lanciando un comandoTFTP (porta 69 UDP) per trasferire il file partendo dal terminale infetto.

Una volta scaricato il file, lo esegue, poi crea dei dati nel database di registro per lanciarsi automaticamente ad ogni riavvio :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
  

Per completare il quadro, il virus LovSan/Blaster è capace di effettuare un attacco sul servizio WindowsUpdate di Microsoft per disturbare l'aggiornamento dei terminali vulnerabili!!

Sintomi dell'infezione

Lo sfruttamento della vulnerabilità RPC provoca un certo numero di disfunzioni sui sistemi infetti, collegati alla disattivazione del servizio RPC (processo svchost.exe / rpcss.exe). I sistemi vulnerabili presentano i seguenti sintomi :

• Copia/Incolla difettosi o impossibile
• Apertura di un link ipertestuale in una nuova finestra impossibile
• Spostamento di icone impossibile
• funzione di ricerca di fiel di windows errata
• chiusura della porta 135/TCP
• Riavvio di Windows XP: il sistema è continuamente rilanciato da AUTORITE NT/system con i messaggi seguenti :

  Windows deve riavviarsi adesso dato che il servizio RPC si è chiuso inaspettatamente

  blocco del sistema in 60 secondi, salvate i lavori in corso, questo blocco è iniziato da AUTORITA NT/SYSTEM Windows deve essere riavviato adesso

Sradicare il virus

Per sradicare il virus LovSan, il metodo migliore consiste innanzi tutto nel disinfettare il sistema con il seguente kit :
Scaricare il kit di disinfezione

Se il vostro sistema va continuamente in reboot, bisogna disattivare il riavvio automatico :

• In un primo tempo, fate Start / Esegui poi digitate il comando seguente che permette di respingere il riavvio automatico :

  shutdown -a

• Cliccate su Risorse del computer con il tasto destro
• Cliccate su Proprietà / Avanzate / Riavvio e recupero / Parametri
• Deselezionate la casella "riavviare automaticamente"!

In seguito sarà indispensabile aggiornare il sistema mediante Windows Update oppure aggiornando il vostro sistema con il seguente patch corrispondente al vostro sistema operativo :

• Patch per Windows 2000
• Patch per Windows XP

D'altra parte, dato che il virus si diffonde mediante la rete Microsoft Windows, si consiglia vivamente di installare un firewall personalesui vostri terminali connessi a internet e di filtrare le porte tcp/69, da tcp/135 a tcp/139 e tcp/4444.

Ulteriori informazioni sul virus

• Nai
• Microsoft
• Sophos
• Symantec
• Symantec - Strumenti di disinfezione