Klez

Il virus - Blaster / LovSan

Sasser
O vírus Blaster/LovSan Das Virus Blaster/LovSan Le virus Blaster / LovSan El virus LovSan/Blaster The LovSan/Blaster virus

Presentazione del virus LovSan

Apparso nell'estate del 2003, il virus LovSan (conosciuto anche con il nome W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) è il primo virus a sfruttare la falla RPC/DCOM (Remote Procedure Call, ossia in italiano chiamata da procedura remota) dei sistemi Microsoft Windows che permettono a dei processi distanti di comunicare. Sfruttando la falla mediante superamento del buffer, un programma malintenzionato (come il virus LovSan) può prendere il controllo del terminale vulnerabile. I sistemi infettati sono gli Windows NT 4.0, 2000, XP e Windows Server 2003.

Le azioni del virus

Lo worm LovSan / Blaster è un programma capace di scannerizzare un elenco di indirizzi IP aleatorio alla ricerca dei sistemi vulnerabili alla falla RPC sulla porta 135.

Quando trova un terminale vulnerabile, lo worm apre uno shell da remoto sulla porta TCP 4444, e forza il terminale distante a scaricare una copia dello worm nella cartella %WinDir%\system32 lanciando un comandoTFTP (porta 69 UDP) per trasferire il file partendo dal terminale infetto.

Una volta scaricato il file, lo esegue, poi crea dei dati nel database di registro per lanciarsi automaticamente ad ogni riavvio :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Per completare il quadro, il virus LovSan/Blaster è capace di effettuare un attacco sul servizio WindowsUpdate di Microsoft per disturbare l'aggiornamento dei terminali vulnerabili!!

Sintomi dell'infezione

Lo sfruttamento della vulnerabilità RPC provoca un certo numero di disfunzioni sui sistemi infetti, collegati alla disattivazione del servizio RPC (processo svchost.exe / rpcss.exe). I sistemi vulnerabili presentano i seguenti sintomi :

  • Copia/Incolla difettosi o impossibile
  • Apertura di un link ipertestuale in una nuova finestra impossibile
  • Spostamento di icone impossibile
  • funzione di ricerca di fiel di windows errata
  • chiusura della porta 135/TCP
  • Riavvio di Windows XP: il sistema è continuamente rilanciato da AUTORITE NT/system con i messaggi seguenti :
    Windows deve riavviarsi adesso dato che il servizio RPC si è chiuso inaspettatamente
    blocco del sistema in 60 secondi, salvate i lavori in corso, questo blocco è iniziato da AUTORITA NT/SYSTEM Windows deve essere riavviato adesso

Sradicare il virus

Per sradicare il virus LovSan, il metodo migliore consiste innanzi tutto nel disinfettare il sistema con il seguente kit :
Scaricare il kit di disinfezione

Se il vostro sistema va continuamente in reboot, bisogna disattivare il riavvio automatico :

  • In un primo tempo, fate Start / Esegui poi digitate il comando seguente che permette di respingere il riavvio automatico :
    shutdown -a
  • Cliccate su Risorse del computer con il tasto destro
  • Cliccate su Proprietà / Avanzate / Riavvio e recupero / Parametri
  • Deselezionate la casella "riavviare automaticamente"!
Potrete ristabilire questa opzione quando il sistema funzionerà di nuovo normalmente.

In seguito sarà indispensabile aggiornare il sistema mediante Windows Update oppure aggiornando il vostro sistema con il seguente patch corrispondente al vostro sistema operativo :

D'altra parte, dato che il virus si diffonde mediante la rete Microsoft Windows, si consiglia vivamente di installare un firewall personalesui vostri terminali connessi a internet e di filtrare le porte tcp/69, da tcp/135 a tcp/139 e tcp/4444.

Ulteriori informazioni sul virus



Ultime modificazione ilvenerdì 6 febbraio 2009 alle 16:52:01.Questo documento intitolato «  » da Kioskea (it.kioskea.net) è reso disponibile sotto la licenza Creative Commons. È possibile copiare, modificare le copie di questa pagina, alle condizioni previste dalla licenza, come questa nota appare chiaramente.
Migliori risposte per « Il virus Blaster / LovSan » in :
Virus - Introduzione ai virus Vedi Virus Un virus è un piccolo programma informatico posto nel corpo di un altro che, quando lo si esegue, si carica nella memoria ed esegue le istruzioni che il suo autore ha programmato. La definizione di un virus potrebbe essere la...
Utilities di disinfezione dei principali virus e worm Vedi Che cos'è un kit di disinfezione? Un kit di disinfezione è un piccolo eseguibile il cui scopo è di pulire un terminale infettato da un particolare virus. Ogni kit di disinfezione è quindi unicamente capace di sradicare un tipo di visur...
[Virus] che cosa fare quando si è infetti? Vedi Pensi che sei infetto da un virus ? Se pensi che sei infettato da un virus, devi occupartene il più rapidamente possibile, perché l'infezione può invitare altre infezioni nel tuo PC e il sistema potrebbe bloccarsi. Inoltre, ci sono le infezioni,...
Riavvio continuo del computer VediSommario Che cosa riavvia un PC? 1. Memoria difettosa 2. Hardware conflitto 3. Surriscaldamento del CPU 4. Alimentazione difettosa 5. Software conflitto 6. Materiale difettoso 7. Il BIOS 8. I Virus Aprire il registro di sistema del...
Antivirus gratuito : Quale scegliere? VediLa scelta di un anti-virus rimane una decisione personale, a seconda del gusto. Di seguito viene riportata una selezione dei migliori antivirus gratuiti. 1. Antivir Personal Edition 2. Avast Home 3. AVG 4. Anche... 4.1 Altri link 4.1...
[Virus] System Volume Information VediIl file System Volume Information viene utilizzato da Windows XP per la registrazione dei dati di configurazione del sistema. Questo file è usato dall' utility Ripristino del Sistema per memorizzarvi informazioni e punti di ripristino. I punti di...
Ntvdm - ntvdm.exe Vedintvdm - ntvdm.exe Il processo ntvdm.exe (Windows 16-bit Virtual Machine) è un processo generico di Windows NT/2000/XP che punta a fornire un ambiente a 16-bit per le vecchie applicazioni a 16 bit.Il processo ntvdm non è mai un virus, uno worm, un ...
Il virus Sircam VediPresentazione del virus Sircam Il virus Sircam (nome di codice W32.Sircam.Worm@mm, Backdoor.SirCam o Troj_Sircam.a) è uno worm che si diffonde attraverso la posta elettronica. Infetta soprattutto gli utenti di Microsft Outlook nei sistemi operativi...
Lo worm Sasser VediPresentazione del virus Sasser Comparsoi nel maggio del 2004, il virus Sasser (conosciuto anche con il nome di W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b o Win32.Sasser) è un virus che sfrutta una falla del servizio...
Hanno bisogno del tuo aiuto