Вирус Lovsan: любите свои системные сети

Удивительная вещь: каждая последующая операционная система, по утверждениям разработчиков, становится все более неприступной для хакерских атак. А между тем они носят все более мощный разрушительный характер и даже не думают слабеть. Первую атаку новый компьютерный червь нанес 11 августа по компьютерным сетям США. За несколько часов работы он побил все рекорды скорости распространения. В Штатах он долго не задержался и стал лавинообразно распространяться дальше. Интернет-форумы тут и там пестрели сообщениями о том, что машины начинают самопроизвольно перезапускаться. В среду утром появилась информация о том, что новый вирус успел уже поразить 400 компаний по всему миру и около 20 тыс. ПК. Что же это за зверь такой страшный? За пару дней вирус успел приобрести несколько имен (W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec Security]) и стал определяться всеми антивирусными программами. Для проникновения на компьютер Lovsan использует обнаруженную 16 июля хакерской группой Last Stage of Delerium уязвимость в системах Windows NT 4.0, Windows 2000, Windows XP и Windows 2003. Брешь была обнаружена в службе DCOM RPC, которая обеспечивает соединение между клиентом и сервером. Незамедлительно после выхода в свет сообщения об уязвимости всеми любимая корпорация подтвердила эту информацию и классифицировала дыру как опасную. Через пять дней Microsoft уже выпустила в свет заплатки, закрывающие брешь. Все вроде хорошо, да вот только большинство пользователей на это внимания не обратили: В первых числах августа появился первый червь, проникающий в систему через вышеописанную брешь, -- Autorooter. Вирус имел слабое место: система распространения практически не реализована. Поэтому шум вокруг него затих, и должного внимания инциденту не уделили, а зря: И вот, меньше чем через две недели появляется новый червь с прекрасно реализованной системой распространения. Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете: вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин, висящих в Сети. Если преград для внедрения в систему жертвы нет (заплатки не стоят), то червь начинает атаку. На порт 135 червь посылает запрос для предоставления полного доступа. Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. Одновременно вирус слушает порт 69 UDP на первоначально зараженном ПК. Как только от новой жертвы к нему поступает TFTP-запрос, он загружает на найденный компьютер файл носителя MSBLAST.EXE размером 6175 байт. Файл записывается в системную папку Windows и запускается. В системном реестре появляется следующая строка для запуска червя после перезагрузки системы: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe. В коде червя была обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (<Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!>). и (<Просто хочу сказать: любите свои системные сети>). Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". Некоторые отечественные СМИ букву "a" заменили на "u", видимо, подумав, что название происходит от слова "sun". Для простого пользователя главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика. Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой. Перезагрузка компьютеров в планы злоумышленников, по-видимому, не входила. Вирус не должен был никак себя проявлять до часа Х, а именно до 16 августа. На этот день была намечена крупномасштабная DDoS атака всех копий червя на сайт windowsupdate.com, содержащий обновления Windows. Пакеты данных с зараженных компьютеров, бомбардируя сайт, должны были сделать его недоступным. Но секрет раскрыли раньше времени. Итак: если ваш компьютер постоянно перезагружается, и в папке windows\system32 появился файл msblast.exe и в реестре вышеописанная надпись, то вы тоже на крючке у нового червя. Но избавится от него очень просто. Этот вирус можно удалить самостоятельно, а можно запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm Removal Tool, которая удаляет из системы самого червя и устраняет все последствия его жизнедеятельности. Никаких настроек: запустил и готово. Удаление вируса Lovesan вручную: Если у Вас на компьютере не установлено программное обеспечение, которое умеет лечить данный вирус, то удалить его из компьютера можно, не прибегая к специальным средствам. Эта операция состоит из трех стадий: 1. Завершить работу процесса malware в памяти: - Вызовите Диспетчер задач нажатием комбинации клавиш Ctrl + Shift + Esc и кликните мышкой по вкладке "Процессы". - Выберите процесс msblast (варианты: malware, teekids, penis32) и нажмите кнопку "Завершить процесс". - Проверьте, был ли процесс malware или его вариант завершен. Закройте Диспетчер задач, а затем откройте его снова и убедитесь, что такого процесса в памяти больше нет. 2. Удаление ключей автоматического запуска в системном реестре: - Вызовите редактор системного реестра. Для этого щелкните кнопку "Пуск" в появившемся меню, нажмите "Выполнить", в открывшемся "Запуск программы" введите имя программы regedit и нажмите Enter. - В левой панели редактора системного реестра, найдите и дважды щелкните по следующим записям (ключам): HKEY_LOCAL_MACHINE > Software> Микрософт > Windows > CurrentVersion >Run. - В правой панели, выберите и удалите ключ автоматического запуска вируса: "windows auto update" = MSBLAST.EXE (TEEKIDS.EXE или PENIS32.EXE) - Закройте редактор системного реестра. 3. Удаление тела вируса: - Найдите и удалите программный код вируса MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE из системного каталога WINDOWS\SYSTEM32. Обратите внимание, если вы не смогли завершить процесс malware в памяти, как описано выше, то вам нужно будет перезапустить компьютер. После удаления необходимо поставить заплатку на Windows с сайта windowsupdate.com (пока он в очередной раз не умер) и с помощью файрволла заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими приложениями). И вам, как говориться, серый волк совсем не страшен. Наши компьютеры исключением среди заразившихся не стали. Все прелести нового червячка мы успели попробовать на себе. Теперь нам остается ждать чего-нибудь новенького, и мы уверены, что совсем не долго. С появлением нового червя что-нибудь произойдет обязательно. Впрочем, как всегда: Черви были, есть и будут. А посему надо иметь голову на плечах и свежий антивирус на компьютере, хоть немного знать о сетевых атаках и защите и применять эти знания на практике. Вот тогда вам все будет нипочем. Мы за безопасный инет! А вы? Павел Корнеенко aka DonTek
Весь номер

Новости партнеров: