BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Net-Worm.Win32.Lovesan

Bulunma tarihi 01/17/2008
Sınıf Net-Worm
Platform Win32
Açıklama

Lovesan, Microsoft Windows MS Güvenlik Görev Bülteni MS03-026'da açıklanan DCOM RPC güvenlik açığından yararlanan bir İnternet Solucanıdır.

Lovesan, LCC derleyicisini kullanarak C dilinde yazılmıştır. Solucan bir Windows PE EXE dosyası hakkında 6KB (sıkıştırıldığında UPX – 11KB ile sıkıştırılmış) dosyasıdır.

Lovesan indirir ve msblast.exe adında bir dosyayı çalıştırmaya çalışır.

Metin şu şekildedir:

Ben sadece seni seviyorum demek istiyorum!
billy gates bunu neden mümkün kılıyor? Para kazanmayı bırak ve yazılımını düzelt!

Enfeksiyon belirtileri:

  • Windows system32 klasöründe MSBLAST.Exe.
  • Hata mesajı: RPC servis hatası. Bu, sistemin yeniden başlatılmasına neden olur.

Solucan Nasıl Yayılır

Lovesan, bilgisayar yeniden başlatıldığında ve bilgisayar her seferinde yeniden başlatıldığında kendini yeniden başlattığında kendini otomatik olarak kaydeder:

 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun



windows otomatik güncelleme = "msblast.exe" 

Solucan, daha sonra 20 rastgele IP adresine bağlanmaya ve herhangi bir savunmasız makineye bulaşmaya çalışan IP adreslerini tarar. Lovesan 1,8 saniye uyur ve sonraki 20 IP adresini tarar.

Lovesan, aşağıdaki kalıplardan birini izleyerek IP adreslerini tarar:

  1. 5 olgunun 3'ünde Lovesan, D'nin 0'a eşit olduğu rasgele temel IP adreslerini (ABCD) seçerken A, B ve C 0 ile 255 arasında rastgele sayılardır.
  2. 5 vakadan 2'sinde Lovesan alt ağı tarar ve enfekte makinenin yerel IP adresini alır, A ve B değerlerini ayıklar ve D'yi 0'a ayarlar. Sonra solucan C değerini çıkarır.

    C 20'den küçük veya eşitse, Lovesan C'yi değiştirmez. Dolayısıyla, yerel IP adresi 207.46.14.1 ise, solucan 207.46.14.0'dan itibaren IP adreslerini tarayacaktır.

    C 20'den büyükse, Lovesan C ve C-19 arasında rastgele bir değer seçer. Bu nedenle, enfekte makinenin IP adresi 207.46.134.191 ise, solucan 207.46 IP adreslerini tarar. {115-134} .0

Solucan, TCP bağlantı noktası 135 üzerinden hassas makineler için bir arabellek taşma isteği gönderir. Yeni virüslü makine, 4444 numaralı TCP bağlantı noktasında komut kabuğunu başlatır.

Lovesan, bağlantıyı 4444 numaralı bağlantı noktasında açan iş parçacığını çalıştırır ve kurbanın makinesinden FTP 'alma' isteğini bekler. Solucan, kurban makinesini 'FTP get' talebini göndermeye zorlar. Böylece kurban makine, solucanı virüs bulaşmış makineden indirir ve çalıştırır. Kurban makinesi de artık enfekte.

Diğer bilgiler

Bir bilgisayar virüs bulaştığında, sistem RPC hizmeti hatası ile ilgili bir hata mesajı gönderir ve makineyi yeniden başlatır.

16 Ağustos 2003 itibariyle Lovesan, Windowsupdate.com sunucusunda DDoS saldırılarını başlatacak.


Orijinaline link