A Microsoft ellen intéz támadást az új vírus

Tegnap egy rendkívül gyorsan terjedő új féregre hívták fel a figyelmet a vírusirtó szoftvereket forgalmazó cégek. A Lovsan (vagy MSBlast, Blaster és Poza) néven ismert kórokozó a Microsoft Windows operációs rendszerek egy ismert, súlyos sebezhetőségét használja ki, és szisztematikus támadást indít a szoftvervállalat honlapja ellen. A vírus nem e-mailben, hanem közvetlen hálózati kapcsolaton keresztül terjed.

A Vírus Híradó hírlevelének tanúsága szerint a LovSan az NT alapú (Windows NT4, 2000, XP, 2003.NET) rendszerekben található RPC/DCOM (Windows Distributed Component Object Model Remote Procedure Call) szolgáltatás július közepe óta ismert, rendkívül súlyos biztonsági hiányosságát használja ki. A kártevő elleni védekezésben a vírusismeret frissítésével azonos fontosságú a Microsoft által kibocsátott javítócsomag telepítése.

A mindössze 6176 bájt méretű "msblast.exe" fájl lefuttatásakor bemásolja magát a rendszermappába és úgy módosítja a regisztrációs adatbázist, hogy minden rendszerindításkor betöltődjön. A többszörös fertőzést a memóriában egy "BILLY" nevű kizárás (ún. mutex) létrehozásával akadályozza meg.

A LovSan közvetlenül a hálózaton keresztül terjed. Egyszerre 20, folytonosan elhelyezkedő távoli IP-címet vizsgál meg sebezhető gépek után kutatva. Megkísérel kapcsolódni a távoli gép 135-ös portjához, ha ez sikeres, véletlenszerűen választ két értéket, majd ezeket bemenetként felhasználva lefuttatja a többféle DCOM exploit egyikét, amellyel hozzáférést szerez a géphez. A víruskód továbbítására a LovSan saját, beépített TFTP szervert alkalmaz, az adatokat a távoli gépen a Windows 2000/XP rendszerekbe gyárilag beépített FTPS kliens dolgozza fel. A felmásolt fájlt a féreg shell hozzáférés segítségével automatikusan lefuttatja.

Meg nem erősített hírek szerint a féreg képes megakadályozni a hálózati kapcsolat szoftverből történő lebontását. A tűzfalak szerepe fontos a járvány megállításában, mivel a 135-ös UDP/TCP port blokkolása megvédheti a tűzfal mögött elhelyezkedő helyi hálózatokat a kívülről érkező MSBlast-fertőzéstől.

A LovSan kódja egy rejtett szöveget tartalmaz, mely Bill Gatesnek, a Microsoft elnökének szól:

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ?
Stop making money and fix your software!!

A féreg szavakon kívül tettekkel is támad, augusztus 16-tól kezdve az év hátralévő részében minden nap DDoS (elosztott szolgáltatás-megtagadás) típusú támadást indít a Microsoft által üzemeltetett Windows Update oldal ellen, másodpercenként 50db 40 bájtos csomaggal bombázva a webhelyet. A legtöbb vírusirtó program a legújabb vírusdefiníciós adatbázissal már képes felismerni és eltávolítani.