Apparso nell'estate del 2003, il virus LovSan (conosciuto anche con i nomi W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) è il primo virus a sfruttare la falla RPC/DCOM (Remote Procedure Call, ossia in italiano chiamata da procedura remota) dei sistemi Microsoft Windows che permettono a dei processi distanti di comunicare. Sfruttando la falla mediante superamento del buffer, un programma malintenzionato (come il virus LovSan) può prendere il controllo del terminale vulnerabile. I sistemi infettati sono gli Windows NT 4.0, 2000, XP e Windows Server 2003.
Il worm LovSan/Blaster è un software capace di scannerizzare un elenco di indirizzi IP aleatorio alla ricerca dei sistemi vulnerabili alla falla RPC sulla porta 135. Quando trova un PC vulnerabile, il worm apre uno shell da remoto sulla porta TCP 4444, e forza il terminale distante a scaricare una copia del worm nella cartella %WinDir%\system32 lanciando un comando TFTP (porta 69 UDP) per trasferire il file partendo dal terminale infetto.
Una volta scaricato il file, lo esegue, poi crea dei dati nel database di registro per lanciarsi automaticamente ad ogni riavvio:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Nota Bene: per completare il quadro, il virus LovSan/Blaster è capace di effettuare un attacco sul servizio WindowsUpdate di Microsoft per disturbare l'aggiornamento dei terminali vulnerabili.
Lo sfruttamento della vulnerabilità RPC provoca un certo numero di disfunzioni sui sistemi infetti, collegati alla disattivazione del servizio RPC (processo svchost.exe/rpcss.exe). I sistemi vulnerabili presentano i seguenti sintomi: copia/incolla difettosi o impossibili; apertura di un link ipertestuale in una nuova finestra impossibile; spostamento di icone impossibile; funzione di ricerca di file di Windows errata; chiusura della porta 135/TCP; riavvio di Windows XP, il sistema è continuamente rilanciato da AUTORITE NT/system con i messaggi come "Windows deve riavviarsi adesso dato che il servizio RPC si è chiuso inaspettatamente".
Blocco del sistema in 60 secondi, salvate i lavori in corso, questo blocco è iniziato da AUTORITÀ NT/SYSTEM Windows deve essere riavviato adesso.
Per sradicare il virus LovSan, il metodo migliore consiste innanzi tutto nel disinfettare il sistema con il seguente kit: Scaricare il kit di disinfezione.
Se il vostro sistema va continuamente in reboot, bisogna disattivare il riavvio automatico:
In un primo tempo, cliccare Start > Esegui poi digitate il comando seguente che permette di respingere il riavvio automatico:
shutdown -a
. Cliccate su Risorse del computer con il tasto destro, cliccate su Proprietà > Avanzate > Riavvio e recupero > Parametri. A questo punto deselezionate la casella Riavviare automaticamente. Potrete ristabilire questa opzione quando il sistema funzionerà di nuovo normalmente.
In seguito sarà indispensabile aggiornare il sistema mediante Windows Update oppure aggiornando il vostro sistema con il seguente patch corrispondente al vostro sistema operativo:
Patch per Windows 2000;
Patch per Windows XP.
D'altra parte, dato che il virus si diffonde mediante la rete Microsoft Windows, si consiglia vivamente di installare un firewall personale sui vostri computer connessi a internet e di filtrare le porte TCP/69, da TCP/135 a TCP/139 e TCP/4444.
Foto: © Martial Red – Shutterstock.com