LovSan-Blaster-virus +
DataProtex

+ Inleiding
+ DataProtex Kit
+ Algemene voorwaarden
+ Download
+ Save-my-PC
+ Top 10
+ Contact

Members

+ Handleiding
+ Linkregister

Computerbeveiliging

+ Computerbedreiging
+ Netwerkbeveiliging
+ Beveiliging van portables
+ Internetbeveiliging
+ Firewalls
+ Kerngegevens
+ Nieuws

Virus-encyclopedie

+ Aanvallen vanop afstand
+ Virussen
+ Trojanen
+ Logische bommen
+ Spyware
+ Hoaxes
+ Keyloggers
+ Worms
+ Spam
+ Adware

1. Definitie

Het LovSan-virus (ook wel W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm of Win32.Poza.B genoemd) is opgedoken in de zomer van 2003 en is het eerste virus dat misbruik maakt van de fout RPC/DCOM van Microsoft Windows, waardoor processen op afstand samen kunnen communiceren.

Door via een bufferoverloop te profiteren van de systeemfout, kan een schadelijk programma (zoals LovSan) de controle over een kwetsbare computer op zich nemen.

De besmette systemen zijn Windows NT 4.0, 2000, XP en Windows Server 2003.

2. De werking van het virus

In het geval van W32.Blaster.B wordt poort 135 aan de hand van een willekeurige IP-reeks gescand.

Indien een systeem toegankelijk is, wordt via poort 4444 een remote shell opgezet. Via ftp wordt vervolgens het wormbestand op het doelsysteem geplaatst.

Eenmaal het bestand op de computer is geplaatst, maakt het ingangen in de registry van Windows om dan bij elke heropstart in werking te treden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Het virus LovSan-Blaster is geprogrammeerd om een aanval op Windows Update van Microsoft uit te voeren en op die manier de updates van kwetsbare computers te verstoren.

3. Besmettingssymptomen

Het misbruik van de RPC-fout veroorzaakt een aantal functiestoornissen in de besmette systemen en de desactivering van de RPC-dienst (proces svchost.exe / rpcss.exe).

De kwetsbare systemen vertonen verscheidene symptomen:

  • kopiëren/plakken gaat heel moeilijk of helemaal niet.
  • een hyperlink in een nieuw venster openen is onmogelijk.
  • iconen verplaatsen is onmogelijk.
  • de functie om een Windows-bestand te zoeken werkt onregelmatig.
  • poort 135/TCP is gesloten.
  • Windows XP wordt voortdurend heropgestart door NT AUTHORITY/SYSTEM met daarbij de volgende boodschap(pen):
    Windows must now restart because the Remote Procedure Call (RPC) service terminated unexpectedly.

    This system is shutting down in 60 seconds. Pleasse save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY SYSTEM.


4. Het virus verwijderen

De beste methode om de LovSan-worm te verwijderen is eerst het systeem te scannen met een verwijderingskit. Lijst met verwijderingskits.

Als uw systeem voortdurend heropstart, moet u het automatisch heropstarten uitschakelen:
  1. klik op Start / Uitvoeren en typ de volgende opdracht: shutdown –a
  2. klik met de rechtermuisknop op de desktop.
  3. klik op Eigenschappen / Geavanceerd / Heropstarten / Parameters.
  4. vink het veld “Automatisch heropstarten” uit.
U kunt die optie opnieuw inschakelen wanneer uw systeem weer normaal werkt.

Nadien kunt u uw systeem best updaten aan de hand van de dienst Windows Update ofwel door de patch te downloaden die geschikt is voor uw besturingssysteem: Aangezien het virus zich verspreidt via het Microsoft Windows-netwerk, raden wij u aan een persoonlijke firewall te installeren op de computers die zijn aangesloten op het internet en de poorten tcp/69, tcp/135 tot tcp/139 en tcp/4444 te filteren.

5. Meer informatie

» Terug naar menu





© Alle rechten voorbehouden 2004 - Commentcamarche.net - Jean-François Pillou

FR
NL
DATAPROTEX - Your computer & Data protection - n.v. Samarkande s.a. - ©Copyright 2006 - General conditions