Il virus Blaster/LovSan

Dicembre 2016
Apparso nell'estate del 2003, il virus LovSan (conosciuto anche con i nomi W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) è il primo virus a sfruttare la falla RPC/DCOM (Remote Procedure Call, ossia in italiano chiamata da procedura remota) dei sistemi Microsoft Windows che permettono a dei processi distanti di comunicare. Sfruttando la falla mediante superamento del buffer, un programma malintenzionato (come il virus LovSan) può prendere il controllo del terminale vulnerabile. I sistemi infettati sono gli Windows NT 4.0, 2000, XP e Windows Server 2003.


Le azioni del virus

Il worm LovSan/Blaster è un software capace di scannerizzare un elenco di indirizzi IP aleatorio alla ricerca dei sistemi vulnerabili alla falla RPC sulla porta 135. Quando trova un PC vulnerabile, il worm apre uno shell da remoto sulla porta TCP 4444, e forza il terminale distante a scaricare una copia del worm nella cartella %WinDir%\system32 lanciando un comando TFTP (porta 69 UDP) per trasferire il file partendo dal terminale infetto.

Una volta scaricato il file, lo esegue, poi crea dei dati nel database di registro per lanciarsi automaticamente ad ogni riavvio:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill


Per completare il quadro, il virus LovSan/Blaster è capace di effettuare un attacco sul servizio WindowsUpdate di Microsoft per disturbare l'aggiornamento dei terminali vulnerabili.

Sintomi dell'infezione

Lo sfruttamento della vulnerabilità RPC provoca un certo numero di disfunzioni sui sistemi infetti, collegati alla disattivazione del servizio RPC (processo svchost.exe/rpcss.exe). I sistemi vulnerabili presentano i seguenti sintomi:

Copia/Incolla difettosi o impossibile;

Apertura di un link ipertestuale in una nuova finestra impossibile;

Spostamento di icone impossibile;

Funzione di ricerca di file di Windows errata;

Chiusura della porta 135/TCP;

Riavvio di Windows XP, il sistema è continuamente rilanciato da AUTORITE NT/system con i messaggi seguenti :

Windows deve riavviarsi adesso dato che il servizio RPC si è chiuso inaspettatamente.

Blocco del sistema in 60 secondi, salvate i lavori in corso, questo blocco è iniziato da AUTORITÀ NT/SYSTEM Windows deve essere riavviato adesso.

Sradicare il virus

Per sradicare il virus LovSan, il metodo migliore consiste innanzi tutto nel disinfettare il sistema con il seguente kit: Scaricare il kit di disinfezione.

Se il vostro sistema va continuamente in reboot, bisogna disattivare il riavvio automatico:
In un primo tempo, cliccare Start > Esegui poi digitate il comando seguente che permette di respingere il riavvio automatico:
shutdown -a
. Cliccate su Risorse del computer con il tasto destro, cliccate su Proprietà > Avanzate > Riavvio e recupero > Parametri. A questo punto deselezionate la casella Riavviare automaticamente. Potrete ristabilire questa opzione quando il sistema funzionerà di nuovo normalmente.

In seguito sarà indispensabile aggiornare il sistema mediante Windows Update oppure aggiornando il vostro sistema con il seguente patch corrispondente al vostro sistema operativo:

Patch per Windows 2000;

Patch per Windows XP.

D'altra parte, dato che il virus si diffonde mediante la rete Microsoft Windows, si consiglia vivamente di installare un firewall personale sui vostri computer connessi a internet e di filtrare le porte tcp/69, da tcp/135 a tcp/139 e tcp/4444.

Ulteriori informazioni sul virus

Nai;

Microsoft;

Sophos;

Symantec;

Symantec - Strumenti di disinfezione.

Potrebbe anche interessarti :
Il documento intitolato « Il virus Blaster/LovSan » da CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.