O vírus Blaster/LovSan

Agosto 2017

O que é o vírus LovSan

Aparecido durante o Verão de 2003, o vírus LovSan (conhecido igualmente como W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) é o primeiro vírus a explorar a falha RPC/DCOM (Remote Procedure Call, ou seja, em português, chamada de procedimento distante) dos sistemas Microsoft Windows que permitem a processos distantes comunicar entre si. Ele explora a falha graças a uma profusão de tampões, um programa malicioso (como o vírus LovSan) pode tomar o controle da máquina vulnerável. Os sistemas afetados são os sistemas Windows NT 4.0,2000, XP e Windows Server 2003.

Como o vírus age

O verme LovSan/Blaster é programado para varrer intervalos de endereços IP aleatoriamente buscando sistemas vulneráveis à falha RPC na porta 135. Quando uma computador vulnerável é encontrado, o verme abre a shell (interface) distante na porta TCP 4444, e o força a fazer o download de uma cópia do verme no diretório %WinDir% \ system32 lançando um comando TFTP (porta]69 UDP) para transferir o arquivo a partir da máquina infectada. Depois de carregado, ele será executado criando entradas no Registro do Sistema a fim de se lançar automaticamente em cada reinicialização:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill. Para completar o quadro, o vírus LovSan/Blaster vai efetuar um ataque ao serviço Windows Update de Microsoft a fim de perturbar a atualização das máquinas vulneráveis.

Sintomas da infecção

A exploração da vulnerabilidade RPC provoca diversos problemas nos sistemas afetados, vinculados à desativação do serviço RPC (Processo svchost.exe/rpcss.exe). Os sistemas vulneráveis apresentam os seguintes sintomas: *Copiar/colar defeituosos ou impossíveis *Abertura de uma ligação hipertexto numa nova janela impossível *Deslocamento de ícones impossíveis *função busca de arquivo do Windows errada *encerramento da porta 135/TCP *Reinício de Windows XP: o sistema é incessantemente reiniciado pela AUTORIDADE NT/system com a seguinte (s) mensagem (s): <pre class="code">Windows deve agora arrancar porque o serviço que chama o procedimento distante (RPC) terminou de maneira inesperada

Parada do sistema em 60 segundos, queira gravar
todos os trabalhos correntes. Esta parada foi iniciada pela AUTORIDADE NT\SYSTEM.
Windows deve agora começar.

Como erradicar o vírus

Para erradicar o verme LovSan, o melhor método consiste, em primeiro lugar, em desinfetar o sistema com a ajuda do conjunto de desinfecção.


Se o seu sistema reiniciar continuamente, é necessário desativar o reinício automático: vá em Iniciar > Executar, depois, digite o seguinte comando que permite adiar o reinício automático:
shutdown -a
. Clique em Meu computador com o botão direito de seu mouse. No menu aberto, clique em Propriedades > Avançado > Arranque e Recuperação > Configurações. Desmarque Arrancar automaticamente. Saiba, no você poderá restabelecer esta opção entanto que você poderá reverter novamente este procedimento quando o seu sistema funcionar de novo normalmente.

Note que é indispensável atualizar o sistema com a ajuda do serviço Windows Update ou atualize seu sistema com o corretivo (patch) correspondente, de acordo com o seu sistema operacional. Como o vírus se alastra através da rede do Microsoft Windows, recomenda-se instalar um firewall pessoal nos computadores.

Veja também

Última modificação: 12 de julho de 2017 às 09:25 por ninha25.
Este documento, intitulado 'O vírus Blaster/LovSan', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.