F-Secure VirusKuvaukset

Lovsan -verkkomato lähti liikkeelle maanantaina 11.8.2003 klo 22:22 suomen aikaa. Sen näkyvin oire on Windows-koneiden boottailu:

PIKAOHJEET LOVSAN/MSBLAST -VERKKOMADON POISTAMISEEN

Miten puhdistaa koneesi kahdeksassa minuutissa

1. Käynnistä saastunut kone

2. Jos ruutuun ilmestyy teksti "Järjestelmä sammutetaan. Aikaa ennen sammutusta 00:60", klikkaa Käynnistä / Suorita, ja suorita komento 'shutdown -a'

3. Lataa ja talleta työpöydällesi F-Securen F-LOVSAN työkalu: ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip

4. Jos käytät Windows XP:tä, kytke Windowsin "System Restore" -toiminto pois päältä. Seuraa näitä ohjeita (englanniksi, valitamme): http://www.f-secure.com/v-descs/sfc_dis1.shtml

5. Lataa ja suorita Microsoftin toimittama korjaustiedosto RPC-turvareiän tukkimiselle:

Windows 2000:
http://www.f-secure.com/dl-w2k/dl-w2k.shtml

Windows XP:
http://www.f-secure.com/dl-wxp/dl-wxp.shtml

6. Kun Microsoftin korjaustiedoston asennus on valmis, se käynnistää koneen uudelleen. Kun kone käynnistyy uudelleen ja muuttaa näyttönsä mustaksi, paina F8-nappain pohjain käynnistääksesi koneen ns. SAFE MODE (Vikasieto) -tilaan. Valitse näytöltä "1) Safe mode"

7. Kun kone on käynnistynyt loppuun, suorita työpöydältä F-LOVSAN -työkalu jonka imuroit kohdassa 3.

8. Käynnistä kone uudelleen normaalisti ja valmista on.

Tämän jälkeen kannattaisi vielä asentaa joku palomuuri - kuten F-Securen palomuuri. Tai edes kytkeä Windows XP:n verkkosuojaus päälle.

VIRUSKUVAUS

Lovsan käyttää hyväkseen "Buffer Overrun In RPC Interface" turva aukkoa, joka tunnetaan myös nimellä DCOM/RPC ja MS03-026. Tämä turva-aukko löydettiin 16. heinäkuuta 2003. Lisätietoja Microsoftin sivustolta osoitteesta:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

Mato saattaa yrittää käyttää hyväkseen Windows XP -koneita Windows 2000:n eksploitilla. Useissa tapauksissa mato aiheuttaa Windows XP koneiden automaattista uudelleenkäynnistystä.

HUOM: Saatat nähdä samankaltaisia virheitä myös Windows Server 2003 käyttöjärjestelmässä. Tämänkaltaisia oireita saattaa jopa ilmaantua Windows XP ja Server 2003 systeemeissä joissa Microsoftin korjauspäivitys on jo asennettu. Koneet eivät kuitenkaan voi saastua, vain käynnistyä uudelleen.

VOIT PYSÄYTTÄÄ SAMMUTUS-AJASTIMEN. Jos koneesi käynnistää itseään niin usein että et voi edes ladata korjauspäivityksiä, käytä 'shutdown' komentoa keskeyttääksesi sammutuksen. Kun näet Sammutus dialogin, klikkaa Käynnistä / Suorita, kirjoita komentoriville 'shutdown -a' ja paina Enter.

Järjestelmän saastuminen:

Lovsan saastuttaa vain Windows 2000 ja Windows XP -koneita. Se saattaa teoriassa aiheuttaa kaatuilua Windows NT 4 ja Windows 2003 -koneissa. Ne eivät kuitenkaan saastu. Windows 3.x, Windows 95, Windows 98 ja Windows ME -koneet ovat turvassa tältä madolta.

Lovsan siirtyy haavoittuvaan koneeseen msblast.exe tiedostonimellä. Tämän jälkeen se lisää Windowsin rekisteriin arvon jotta mato käynnistyisi Windowsin käynnistymisen mukana: 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update'

AKTIVOITUMISRUTIINI Alkaen 16 Elokuuta saastuneet koneet yrittävät lähettää massiivisen määrän paketteja windowsupdate.com sivustolle. 40:n tavun paketteja lähetetään 20:n millisekunnin välein porttiin 80. Tämän tarkoituksena on toteuttaa palvelunestohyökkäys ko. sivustolle.

Mato sisältää seuraavan piilotetun tekstin:

  I just want to say LOVE YOU SAN!!
  billy gates why do you make this possible ? Stop making money and fix your software!!