O vírus Blaster/LovSan

Janeiro 2017

Apresentação do vírus LovSan

Aparecido durante o Verão de 2003, o vírus LovSan (conhecido igualmente sob os nomes W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) é o primeiro vírus explorar a falha RPC/DCOM (Remote Procedure Call, ou seja, em português, chamada de procedimento distante) dos sistemas Microsoft Windows que permitem a processos distantes comunicar. Explorando a falha graças a uma profusão de tampão, um programa malicioso (como o vírus LovSan) pode tomar o controlo da máquina vulnerável. Os sistemas afectados são os sistemas Windows NT 4.0,2000, XP e Windows Server 2003.

As acções do vírus

O verme LovSan/Blaster é programado de maneira a varrer um intervalo de endereços IP aleatórios à procura de sistemas vulneráveis à falha RPC na porta 135.

Quando uma máquina vulnerável é encontrada, o verme abre o shell distante na porta TCP 4444, e força a máquina distante a fazer o download de uma cópia do verme no directório %WinDir% \ system32 lançando um comando TFTP ((porta 69 UDP) para transferir o ficheiro a partir da máquina infectada.

Uma vez o ficheiro descarregado, é executado e seguidamente cria entradas na base de registo a fim de se relançar automaticamente a cada reinício:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ 
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Para completar o quadro, o vírus LovSan/Blaster vai efectuar um ataque ao serviço WindowsUpdate de Microsoft a fim de perturbar a actualização das máquinas vulneráveis!!

Sintomas da infecção

A exploração da vulnerabilidade RPC provoca diversos disfuncionamentos nos sistemas afectados, vinculados à desactivação do serviço RPC (Processo svchost.exe/rpcss.exe). Os sistemas vulneráveis apresentam os sintomas seguintes:

  • Copiar/colar defeituosos ou impossíveis
  • Abertura de uma ligação hipertexto numa nova janela impossível
  • Deslocação de ícones impossíveis
  • função busca de ficheiro de windows errática
  • encerramento da porta 135/TCP
  • Reinício de Windows XP: o sistema é incessantemente relançado
por AUTORIDADE NT/system com a mensagem (s) seguinte (s): <pre class="code">Windows deve agora arrancar porque o serviço chamada de procedimento distante (RPC) terminou de maneira inesperada
paragem do sistema em 60 segundos, queira gravar
todos os trabalhos correntes. Esta paragem foi iniciada por AUTORIDADE NT \ SYSTEM
Windows deve agora começar

Erradicar o vírus

Para erradicar o verme LovSan, o melhor método consiste, em primeiro lugar, em desinfectar o sistema com a ajuda do conjunto de desinfecção seguinte :
Fazer o download do conjunto de desinfecção

Se o seu sistema reiniciar continuamente, é necessário desactivar o renício automático:

  • Inicialmente, faça Iniciar/executar e seguidamente escreva o comando seguinte que permite adiar o reinício automático:
    shutdown -a

Clique em O meu computador com o botão direito
  • Clique em Propriedades/Avançado/Arranque e recuperação/Parâmetros
  • Desmarque o compartimento “arrancar automaticamente”!

Poderá restabelecer esta opção quando o seu sistema funcionar de novo normalmente.

É seguidamente indispensável actualizar o sistema com a ajuda do serviço Windows Update ou actualizando o seu sistema com o patch correspondente de acordo com o seu sistema de exploração




Por outro lado, na medida em que o vírus se propaga através da rede Microsoft Windows, é vivamente aconselhado instalar um firewall pessoal nas máquinas ligadas à Internet e que filtram as portas tcp/69, tcp/135 à tcp/139 e tcp/4444.

Mais informações sobre o vírus

Veja também

Última modificação: 2 de outubro de 2009 às 11:27 por owliance.pt_004.
Este documento, intitulado 'O vírus Blaster/LovSan', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.