草原上的歌二胡:我的“卡巴斯基杀毒软件”一直显示网络攻击lovesan？

蠕虫病毒 Worm.W32.Lovsan 正以其惊人的速度和破坏力在互联网上蔓延

全球著名数据安全公司 Kaspersky Labs 公司最新宣布：一种名为" Worm.W32.Lovsan "的
互联网蠕虫病毒正在迅速传播，该病毒的危险性极大。仅数小时，"Lovesan"病毒已迅速攀
升到恶性流行病毒排行榜的三甲位置。Kaspersky Labs 病毒专家强烈建议广大用户立即从
微软网站下载相关 补丁程序，尽快阻止69、135、4444端口。

Lovesan是利用微软的DCOM RPC漏洞（具体描述请参考MS Security Bulletin MS03-026）
进行传播的网络蠕虫病毒。

Lovesan用C语言编写，利用LCC编译，是Windows PE 可执行文件，大小约为6KB（用UPX压
缩工具，解压后为11KB）。

Lovesan企图去下载安装msblast.exe文件，该文件有以下的文本

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible? Stop making money and fix your soft
ware!!

被感染后的征兆：

· 在Windows system32文件夹中有MSBLAST.Exe文件
· 提示错误信息：RPC服务失败，系统重启。

传 播

Lovesan会在系统每次重启后，在系统注册表中注册以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"

该蠕虫会扫描网络中的其它机器，企图感染有此漏洞的PC，它随机选择任意的20个IP地址
，然后在间隔1.8秒后再去感染它任意选择的另外20个IP地址，Lovesan以以下的方式选择
要扫描IP地址：

1约3/5概率，Lovesan会对IP地址（A.B.C.D）各个位置分别置值，A、B、C的数值在0-255
之间随机选择，D段置零。

2. 约2/5概率，Lovesan会扫描感染机器上的本网段的IP地址。A和B的值与本网段相同，D
值设为0，C的值以以下的方式产生：

如果本网络的C值小于20，那么lovesan不修改这个值，如，现在本网段的IP地址是20
7.46.14.1，则该蠕虫将扫描从207.46.14.0开始的网段。

如果C值大于20，那么Lovesan则在1-19之间选择一个数值，如，本网段被感染机器的
IP地址是207.46.134.191，那么该蠕虫将在207.46.{115-134}.0之间扫描。

Lovesan将通过TCP 135端口发送造成对方计算机缓冲区溢出的请求，被感染的计算机将开
放TCP 4444端口，打开相应的command 界面。

Lovesan对开放4444端口的计算机强行运行FTP的'get'请求，这样从感染的计算机上就下载
了蠕虫病毒，如此，有漏洞的PC也随之感染。

其它信息

一旦感染上Lovesan，它将发送RPC服务失败的信息并重新启动计算机。
到2003年8月13日，Lovesan将对Windowsupdate.com网站发起DDOS攻击。

==================================================================
Worm.Win32.lovesan 病毒解决方案

病毒名称：Worm.Win32.lovesan
发作时间：随机
病毒类型：蠕虫病毒
传播途径：网络/RPC漏洞
依赖系统： WINDOWS 2000/XP/2003
病毒尺寸：6,176 字节

病毒发作现象：

Worm.win32.lovesan 病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的，只要是计
算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞(RPC DCOM缓冲溢出漏洞的
详细信息, 请访问以下微软网页: http://www.microsoft.com/technet/treeview/?url=/
technet/security/bulletin/MS03-026.asp)，具体涉及的操作系统是：Windows2000、XP
、Server 2003。该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有
时会弹出RPC服务终止的对话框，并且系统反复重启, 不能收发邮件、不能正常复制文件、
无法正常浏览网页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到非法拒绝等。

下面是弹出RPC服务终止的对话框的现象：

病毒详细说明：

1. 病毒运行时会将自身复制到window目录下，并命名为： msblast.exe。

2. 病毒运行时会在系统中建立一个名为："BILLY"的互斥量，目的是病毒只保证在内存中
有一份病毒体，为了避免用户发现。

3. 病毒运行时会在内存中建立一个名为："msblast.exe"的进程，该进程就是活的病毒体
。

4. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe
rsion\Run中添加以下键值："windows auto update"="msblast.exe"，以便每次启动系统
时，病毒都会运行。

5. 病毒体内隐藏有一段文本信息：I just want to say LOVE YOU SAN!!billy gates wh
y do you make this possible ? Stop making money and fix your software!!

6. 病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP
/69端口上建立一个tftp服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进
行攻击，另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。

7. 当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。

8. 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。
然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到
目标计算机上并运行。

9. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系
统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Wind
ows Server2003系统的RPC服务崩溃，默认情况下是系统反复重启。

10. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"wi
ndowsupdate.com"发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。

清除步骤 :

1. 删除注册表中的自启动项目
删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行

●单击 开始>运行, 输入 Regedit, 然后按 Enter 键打开注册表管理器
●在左边的列表中双击以下项目：

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run

●在右边的列表中查找并删除以下项目
Windows auto update" = MSBLAST.EXE
● 关闭注册表编辑器.

2. 应用补丁

1. 建议所有受影响的用户安装微软在以下连接发布的补丁程序：

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03
-026.asp

（注：在打此补丁程序前，请确认该计算机系统已打补丁到SP2以上，否则无法安装）

3. 终止恶意程序
此步骤用于中止内存中运行的恶意程序进程。

●打开Windows任务管理器
CTRL+SHIFT+ESC,然后单击进程选项卡
●在运行的程序清单中*, 查找如下进程:
MSBLAST.EXE
●选择恶意程序进程，然后按"终止任务"或是"中止进程"按钮。
●为确认恶意程序进程是否中止，请关闭任务管理器并再次打开
● 关闭任务管理器
(如果无法终止恶意进程，请在打好系统补丁后重新启动系统)

4．升级您的病毒软件，全面扫描磁盘文件，清除病毒。

问答：
1. Lovesan, Lovsan, Blaster, Msblast and Poza这些病毒有何区别？

没有任何区别-以上这些名称是同一病毒的不同名字，Kaspersky Labs反病毒专家统一将其
命名为Win32.worm.Lovesan，目前Lovesan病毒有三个变种，一些病毒厂商将其分别标识为
'a'、'b'、'c'。

2. 如何判断我的计算机已感染了Lovesan病毒？

可以从以下的现象看到端倪:

o 在系统目录（通常是在C:\Windows\Systems32\）中看到以下文件Msblast.exe, Teekid
s.exe or Penis32.exe
o 机器异常地频繁重启
o 使用Word、Excel或Outlook出现一些问题或错误提示
o Svchost.exe文件错误提示信息
o RPC服务失败调用的信息（如下图所示）

3. Lovesan病毒会对我的计算机造成什么样的破坏？

Lovesan不会对个人计算机造成致命的破坏，它即不删除也不改变或窃取入侵计算机的数据
，Lovesan的破坏性主要在于通过大量的病毒复制，造成全球信息流的拥塞，及WWW服务的
降低。
Lovesan会造成计算机负载增加，并在8月16日对Windowsupdate.com网站发起DdoS攻击，这
样，用户将丧失从微软升级站点下载补丁的机会。
Kaspersky Labs继续强烈建议用户在8月16日之前下载微软提供的相关补丁。

4. Lovesan会攻击那些版本的Windows操作系统？

Lovesan会攻击 Windows NT, 2000 and XP以下版本：

a) Windows NT 4.0 Server
b) Windows NT 4.0 Terminal Server Edition
c) Windows 2000
d) Windows XP 32 bit Edition
e) Windows XP 64 bit Edition
f) Windows Server 2003 32 bit Edition
g) Windows Server 2003 64 bit Edition

5. 我怎么样才能保护我的计算机免受病毒的破坏？

按以下步骤操作可加固你的计算机：

a) 升级病毒数据库并保证在访问互联网时它处于实时监控状态
b) 阻止防火墙69、135、4444 这三个端口
c) 下载安装微软修补DCOM RPC漏洞的补丁

注意：安装微软的补丁是至关重要的，它可以保护你的计算机抵抗所有有关DCOM RPC漏洞
而发起的攻击。

6. 对于Lovesan病毒，防火墙能做什么？

防火墙能过滤恶意程序并阻止未授权的访问，对于网关级的防火墙请关闭135、69、4444端
口，对于使用个人版防火墙的用户也要采取类似的配置。

7. 因为我的计算机频繁地重启，所以无法下载微软的补丁，怎么办？

如果你的计算机频繁重启，及有可能已感染了Lovesan病毒，在这种情况下你需要将系统目
录（通常是c:\Windows\System32\）下的TFTP.EXE文件重命名，并检查Windows\System32
\dllcache文件无误，在下载安装完微软的相关补丁后，需将已改名的TFTP.EXE恢复到原来
的名字。

8. 如果我的计算机已经感染了Lovesan病毒，我该怎么做？

首先你需要运行反病毒程序，并确保现在的病毒数据库可以查杀Lovesan病毒。
Kaspersky Labs提供专杀工具，它即能删除本地硬盘，也能删除网络驱动器中的病毒文件
，同时它完全删除系统注册表中的病毒更改的键值，一旦清除Lovesan病毒后，系统重启。
并在重启后请随即启动反病毒保护。

从以下链接下载专杀工具：

· Zipped 版:

ftp://ftp.kaspersky.com/utils/clrav.zip

· 解压版:

ftp://ftp.kaspersky.com/utils/clrav.com

· 工具说明:

ftp://ftp.kaspersky.com/utils/clrav_ReadMe.txt

9. 我使用Lovesan的专杀工具，但是我的计算机又重复被感染，为什么？

这个工具仅仅能清除Lovesan病毒，但是它不能保护你的计算机会再次遭受到类似的攻击，
如何长期有效避免，请参考第5条FAQ。
--
当你的电脑被病毒或者木马侵害的时候，请到virus版。
如果你受益于virus版，那么今后就请你帮助你的病友们，因为你深知他们所处的境地。
如果virus版未能如你所愿，那么也请你为了他们，将后来跟病毒斗争的经验告诉他们。
当你对病毒反病毒技术感兴趣的时候，请到virus版。共同提高、共同关心计算机安全。
virus版需要每一位网友的支持！