Il virus - Blaster / LovSan

Presentazione del virus LovSan

Apparso nell'estate del 2003, il virus LovSan (conosciuto anche con il nome W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) è il primo virus a sfruttare la falla RPC/DCOM (Remote Procedure Call, ossia in italiano chiamata da procedura remota) dei sistemi Microsoft Windows che permettono a dei processi distanti di comunicare. Sfruttando la falla mediante superamento del buffer, un programma malintenzionato (come il virus LovSan) può prendere il controllo del terminale vulnerabile. I sistemi infettati sono gli Windows NT 4.0, 2000, XP e Windows Server 2003.

Le azioni del virus

Lo worm LovSan / Blaster è un programma capace di scannerizzare un elenco di indirizzi IP aleatorio alla ricerca dei sistemi vulnerabili alla falla RPC sulla porta 135.

Quando trova un terminale vulnerabile, lo worm apre uno shell da remoto sulla porta TCP 4444, e forza il terminale distante a scaricare una copia dello worm nella cartella %WinDir%\system32 lanciando un comandoTFTP (porta 69 UDP) per trasferire il file partendo dal terminale infetto.

Una volta scaricato il file, lo esegue, poi crea dei dati nel database di registro per lanciarsi automaticamente ad ogni riavvio :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
    

Per completare il quadro, il virus LovSan/Blaster è capace di effettuare un attacco sul servizio WindowsUpdate di Microsoft per disturbare l'aggiornamento dei terminali vulnerabili!!

Sintomi dell'infezione

Lo sfruttamento della vulnerabilità RPC provoca un certo numero di disfunzioni sui sistemi infetti, collegati alla disattivazione del servizio RPC (processo svchost.exe / rpcss.exe). I sistemi vulnerabili presentano i seguenti sintomi :

  • Copia/Incolla difettosi o impossibile
  • Apertura di un link ipertestuale in una nuova finestra impossibile
  • Spostamento di icone impossibile
  • funzione di ricerca di fiel di windows errata
  • chiusura della porta 135/TCP
  • Riavvio di Windows XP: il sistema è continuamente rilanciato da AUTORITE NT/system con i messaggi seguenti :
    Windows deve riavviarsi adesso dato che il servizio RPC si è chiuso inaspettatamente
    blocco del sistema in 60 secondi, salvate i lavori in corso, questo blocco è iniziato da AUTORITA NT/SYSTEM Windows deve essere riavviato adesso

Sradicare il virus

Per sradicare il virus LovSan, il metodo migliore consiste innanzi tutto nel disinfettare il sistema con il seguente kit :
Scaricare il kit di disinfezione

Se il vostro sistema va continuamente in reboot, bisogna disattivare il riavvio automatico :

  • In un primo tempo, fate Start / Esegui poi digitate il comando seguente che permette di respingere il riavvio automatico :
    shutdown -a
  • Cliccate su Risorse del computer con il tasto destro
  • Cliccate su Proprietà / Avanzate / Riavvio e recupero / Parametri
  • Deselezionate la casella "riavviare automaticamente"!
Potrete ristabilire questa opzione quando il sistema funzionerà di nuovo normalmente.

In seguito sarà indispensabile aggiornare il sistema mediante Windows Update oppure aggiornando il vostro sistema con il seguente patch corrispondente al vostro sistema operativo :

D'altra parte, dato che il virus si diffonde mediante la rete Microsoft Windows, si consiglia vivamente di installare un firewall personalesui vostri terminali connessi a internet e di filtrare le porte tcp/69, da tcp/135 a tcp/139 e tcp/4444.

Ulteriori informazioni sul virus



Ultime modificazione ilvenerdì 6 febbraio 2009 alle 16:52:01


Questo documento intitolato «  » da Kioskea (it.kioskea.net) è reso disponibile sotto la licenza Creative Commons. È possibile copiare, modificare le copie di questa pagina, alle condizioni previste dalla licenza, come questa nota appare chiaramente.