LoveSun

Материал из Encyclopedia Electronica

[ˈlʌvˌsʌn]
(W32.Blaster.Worm, W32/Lovsun.worm, msblast.exe, WORM_MSBLAST.A)
вирус «ЛавСан»
 Первый вирус для Windows, использующий для размножения известную дыру в RPC DCOM, присутствующую в версиях Windows NT 4.0 / 2000 / XP / Server 2003. Первый удар вируса произошёл вечером 11.08.03 и пришёлся по компьютерным сетям США. Согласно экспертным оценкам, вирус только в первую неделю успел поразить сети 400 компаний в США и Европе, в т. ч. и России, всего — несколько сотен тысяч ПК. В словам сотрудников ФБР, вирус был запущен с целью выяснить, с какой скоростью процесс распространения червя (Worm) замедляется, когда у него остаётся всё меньше и меньше компьютеров, которые ещё можно заразить. Особенностью Л. являлось то, что он как бы заранее создал «плацдарм» для самой большой в истории Internet атаки против программ Microsoft, которая началась 16.08.03 в 00:00 ч. В тексте вируса содержится обращение к главе корпорации Биллу Гейтсу (Bill Gates) с призывом «прекратить делать деньги и исправить ПО». Одним из признаков заражения становится самопроизвольная перезагрузка компьютера, а также наличие в системном реестре (Register) ссылки на файл msblast.exe. Проявление червя характеризуется резким увеличением трафика по порту 135 (DCOM RPC), а также самопроизвольным перезапуском компьютеров, находящихся в сети и работающих под Windows XP (в компьютерах под Windows 2000 возможно появление сообщения об ошибке системной программы svchost.exe). Л. существует в виде файла msblast.exe длиной 6176 байт, упакованного утилитой сжатия UPX. Когда вирус отыскивает незащищённую систему, то через порт 4444 загружает тело червя с помощью TFTP. Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за её пределами) в поисках новых потенц. жертв, то есть систем с уязвимостью DCOM RPC. Найдя такой компьютер, Л. посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить «атакующему» компьютеру полный доступ к «атакуемому», а в случае удачи — открыть порт 4444 для прослушивания и ожидания последующих команд. Одновременно червь слушает порт 69 UDP на первоначально заражённом компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe). Этот код помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системном реестре Windows c целью автоматического запуска червя при старте последующих сессий Windows. С этого момента новая жертва начинает действовать, как самостоят. источник заражения. С 12.08.03 червь определяется всеми антивирусными модулями Dr. Web, при активном резидентном стороже SpIDer Guard заражение компьютера этим червём невозможно.

Игорь Мостицкий (обсуждение) 14:34, 9 января 2026 (MSK)

Источник — https://wiki.1963.ru/index.php?title=LoveSun&oldid=24869