왜 온라인에 오르자마자 lovesan 에 의해 공격당했을까요?
세계적인 유명 데이터 보안 회사인 카스퍼스키 랩 (Kaspersky Labs) 이 최근' 웜' 을 발표했다. W32.Lovsan "
인터넷 웜은 빠르게 퍼지고 매우 위험하다. 몇 시간 만에' 로프산' 바이러스가 빠르게 상승했다.
악성 유행 바이러스 순위 상위 3 위로 오르다. 카스퍼스키 실험실 바이러스 전문가들은 사용자에게 즉시
Microsoft 웹 사이트에서 관련 패치를 다운로드하여 가능한 한 빨리 69, 135, 4444 포트를 차단하십시오.
Lovesan 은 Microsoft 의 DCOM RPC 취약점을 활용합니다 (자세한 내용은 MS 보안 공지 MS03-026 참조).
퍼지는 인터넷 웜.
Lovesan 은 c 언어로 작성되었으며 LCC 로 컴파일되었습니다. 크기가 약 6KB 인 Windows PE 실행 파일입니다 (UPX 압력 포함).
수축 도구, 압축 해제 후 1 1KB).
Lovesan 은 다음 텍스트가 포함된 msblast.exe 파일을 다운로드하여 설치하려고 합니다.
나는 단지 너를 사랑한다고 말하고 싶다! !
빌리 게이츠, 왜 이것을 가능하게 만들었습니까? 돈을 버는 것을 멈추고, 소프트웨어를 수리하십시오.
워! !
감염 징후:
MSBLAST.Exe 파일은 Windows system32 폴더에 있습니다.
프롬프트 오류 메시지: RPC 서비스가 실패하여 시스템이 재부팅됩니다.
방송
Lovesan 은 시스템이 재부팅될 때마다 시스템 레지스트리에 다음 키 값을 등록합니다.
Hkey _ local _ machine \ software \ Microsoft \ windows \ 현재 버전 \Run
Windows 자동 업데이트 ="msblast.exe "
웜은 네트워크의 다른 시스템을 스캔하여 이 취약점으로 PC 를 감염시키려고 합니다. 무작위로 20 개의 IP 주소를 선택합니다.
그런 다음 1.8 초 간격으로 무작위로 선택한 다른 20 개의 IP 주소를 감염시킵니다. Lovesan 선택 방법은 다음과 같습니다.
IP 주소를 스캔하려면 다음을 수행합니다.
1 약 3/5 확률, Lovesan 은 IP 주소 (A.B.C.D) 의 각 위치에 대한 값을 설정합니다. a, b, c 의 값은 0-255 입니다.
이들 사이에서 임의로 선택하고 d 세그먼트를 0 으로 설정합니다.
2. 약 2/5 의 확률로, Lovesan 은 감염된 시스템에서 이 네트워크 세그먼트의 IP 주소를 스캔합니다. A 와 b 의 값은 이 네트워크 세그먼트 d 의 값과 같습니다.
이 값을 0 으로 설정하면 c 의 값은 다음과 같이 생성됩니다.
이 네트워크의 C 값이 20 미만이면 lovesan 은 이 값을 수정하지 않습니다. 예를 들어, 이 네트워크 세그먼트의 IP 주소는 이제 20 입니다.
7.46. 14. 1, 웜은 207.46. 14.0 부터 네트워크 세그먼트를 검색합니다.
C 값이 20 보다 크면 Lovesan 은 1- 19 사이의 값을 선택합니다. 예를 들어 이 네트워크 세그먼트에 감염된 시스템의 수입니다.
IP 주소가 207.46.134.191이면 웜이 207.46 사이에서 스캔됩니다. {115-134} .0.
Lovesan 은 TCP 135 포트를 통해 상대방의 컴퓨터 버퍼 오버플로를 일으키는 요청을 보내고 감염된 컴퓨터를 켭니다.
TCP 4444 포트를 놓고 해당 명령 인터페이스를 엽니다.
Lovesan 은 포트 4444 가 열려 있는 상태에서 FTP“get "요청을 컴퓨터에 강제로 실행하여 감염된 컴퓨터에서 파일을 다운로드할 수 있도록 합니다.
웜 바이러스로 인해 취약한 PC 도 감염된다.
추가 정보
Lovesan 에 감염되면 RPC 서비스가 실패했다는 메시지를 보내 컴퓨터를 다시 시작합니다.
2003 년 8 월 13 일까지 Lovesan 은 Windowsupdate.com 웹 사이트에 대한 DDOS 공격을 시작할 예정입니다.
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
벌레. Win32.lovesan 바이러스 솔루션
바이러스 이름: 웜. Win32.lovesan
공격 시간: 임의
바이러스 유형: 웜
전송 경로: 네트워크 /RPC 취약점
관련 시스템: WINDOWS 2000/XP/2003
바이러스 크기: 6, 176 바이트
바이러스 폭발 현상:
Worm.win32.lovesan 바이러스는 Microsoft 7 월 2 1 일 발표된 RPC 취약점을 이용하여 퍼집니다.
RPC 서비스가 있고 보안 패치가 없는 컴퓨터에는 RPC 취약점 (RPC DCOM 버퍼 오버플로 취약점) 이 있습니다
자세한 내용은 다음 Microsoft 웹 페이지: /technet/treeview/? Url=/
Technet/security/bulletin/ms03-026asp), 구체적으로 관련된 운영 체제는 Windows2000 및 XP 입니다.
, 서버 2003. 바이러스가 시스템에 감염되면 컴퓨터에 다음과 같은 현상이 발생할 수 있습니다. 시스템 자원이 많이 사용되고 있습니다.
RPC 서비스 종료 대화 상자가 팝업되면 시스템이 반복적으로 재부팅되고, 메일을 제대로 보내고, 파일을 복사할 수 없습니다.
웹 페이지를 제대로 볼 수 없습니다. 복사 붙여넣기 작업이 심각하게 영향을 받아 DNS 및 IIS 서비스가 불법적으로 거부되었습니다.
다음은 RPC 서비스 종료 대화상자를 팝업하는 현상입니다.
바이러스에 대한 자세한 설명:
1. 바이러스가 실행되면 msblast.exe 라는 이름의 창 디렉토리에 복사됩니다.
2. 바이러스가 실행되면 시스템에' BILLY' 라는 상호 배타적인 개체를 만들어 바이러스가 메모리에만 저장되도록 합니다.
사용자가 발견하지 못하도록 바이러스체가 있다.
3. 바이러스가 실행되면 메모리에' msblast.exe' 라는 프로세스가 설정됩니다. 이 프로세스는 살아있는 바이러스체입니다.
。
4. 바이러스는 HKEY _ local _ machine \ software \ Microsoft \ Windows \ currentve 의 레지스트리를 수정합니다.
시스템을 부팅할 때마다 rsion \ Run 에 "windows autoupdate" = "msblast.exe" 키 값을 추가합니다.
, 바이러스가 실행됩니다.
바이러스에 숨겨진 문자 메시지가 있습니다: 나는 단지 당신을 사랑한다고 말하고 싶습니다! ! 빌리 게이츠는
당신은 이것을 가능하게 할 수 있습니까? 돈을 벌지 말고 너의 소프트웨어를 고쳐라! !
6. 이 바이러스는 20 초마다 네트워크 상태를 20 초 간격으로 감지합니다. 네트워크를 사용할 수 있을 때 바이러스는 로컬 UDP 에 있습니다.
/69 포트에 TFTP 서버를 설정하고 공격 전파 스레드를 시작하여 무작위로 공격 주소를 생성합니다.
라인 공격, 또한 바이러스 공격 시 먼저 서브넷의 IP 주소를 검색하여 가까운 공격을 합니다.
7. 바이러스가 컴퓨터를 스캔할 때 공격 데이터를 대상 컴퓨터의 TCP/ 135 포트로 보냅니다.
8. 바이러스 공격이 성공하면 대상 컴퓨터의 TCP/4444 포트를 백도어로 수신하여 cmd.exe 를 바인딩합니다.
그런 다음 웜은 이 포트에 연결하고, TFTP 명령을 전송하고, 공격 호스트에 다시 연결하고, msblast.exe 를 에 전달합니다.
대상 컴퓨터에서 실행 중입니다.
9. 바이러스 공격이 실패하면 패치되지 않은 Windows 시스템의 RPC 서비스가 충돌하고 Windows XP 시스템이 마비될 수 있습니다.
시스템이 자동으로 컴퓨터를 다시 시작할 수 있습니다. 웜은 Windows Server2003 을 성공적으로 공격할 수 없지만 바람을 일으킬 수 있습니다.
Ows Server2003 시스템의 RPC 서비스가 충돌합니다. 기본적으로 시스템은 반복적으로 재부팅됩니다.
10. 바이러스가 현재 시스템 월이 8 월 이후이거나 날짜가 15 이후인 것을 감지하면 Microsoft 업데이트 사이트' wi' 로 이동합니다.
Ndowsupdate.com "은 서비스 거부 공격을 개시하여 Microsoft 웹 사이트의 업데이트 사이트에서 사용자에게 서비스를 제공하지 못하게 했습니다.
청소 절차:
1. 레지스트리에서 시작 항목을 삭제합니다.
레지스트리에서 자체 시작 항목을 제거하면 시스템 시작 시 악성 프로그램이 실행되지 않습니다.
● 시작 > 실행을 클릭하고 Regedit 를 입력한 다음 Enter 키를 눌러 레지스트리 관리자를 엽니다.
● 왼쪽 목록에서 다음 항목을 두 번 클릭합니다.
HKEY _ LOCAL _ MACHINE & gt 소프트웨어 & gt Microsoft & gt
Windows & gtCurrentVersion & gt 달리기
● 오른쪽 목록에서 다음 항목을 찾아 삭제합니다.
Windows 자동 업데이트 "= MSBLAST.EXE
레지스트리 편집기를 닫습니다.
패치를 바르다
1. 영향을 받는 모든 사용자는 다음 링크를 통해 Microsoft 출시 패치를 설치하는 것이 좋습니다.
/technet/treeview/? Url =/TechNet/security/bulletin/ms03
-026.asp
(참고: 이 패치를 적용하기 전에 컴퓨터 시스템에 SP2 이상의 패치가 설치되어 있는지 확인하십시오. 그렇지 않으면 설치할 수 없습니다. ) 을 참조하십시오
3. 맬웨어 종료
이 단계는 맬웨어 프로세스가 메모리에서 실행되지 않도록 하는 데 사용됩니다.
● Windows 작업 관리자를 엽니다.
CTRL+SHIFT+ESC 를 누른 다음 프로세스 탭을 클릭합니다.
● 실행자 목록 * 에서 다음 프로세스를 찾습니다.
MSBLAST.EXE
맬웨어 프로세스를 선택하고 [작업 종료] 또는 [프로세스 중단] 단추를 누릅니다.
● 맬웨어 프로세스가 중단되었는지 확인하려면 작업 관리자를 닫은 다음 다시 엽니다.
● 작업 관리자를 닫습니다.
(악성 프로세스를 종료할 수 없는 경우 시스템을 패치한 후 시스템을 재부팅합니다. ) 을 참조하십시오
4. 바이러스 백신 소프트웨어를 업그레이드하고, 디스크 파일을 전면적으로 스캔하고, 바이러스를 제거한다.
질문과 대답:
1 차이점은 무엇입니까? 로프산, 로프산, 브라스트, MSBlast, 포자?
차이가 없습니다. 이 이름들은 같은 바이러스의 다른 이름이며, 카스퍼스키 연구소의 바이러스 백신 전문가들이 통일할 것입니다.
Win32.worm.Lovesan 이라는 Lovesan 바이러스에는 현재 세 가지 변종이 있는데, 일부 바이러스 제조사가 부른다
갑, 을, 병.
2. 자신의 컴퓨터가 Lovesan 바이러스에 감염되었는지 어떻게 알 수 있습니까?
다음과 같은 현상에서 단서를 볼 수 있습니다.
O 시스템 디렉토리 (일반적으로 C:\Windows\Systems32\) 에 Teekid 가 있는 아래 Msblast.exe 파일을 참조하십시오.
S.exe 또는 Penis32.exe 중 어느 것입니까
O 기계가 자주 비정상적으로 재부팅됩니다.
O Word, Excel 또는 Outlook 을 사용할 때 몇 가지 문제나 오류 메시지가 나타납니다.
O Svchost.exe 파일 오류 메시지
Of RPC 서비스 정보 호출이 실패했습니다 (다음 그림 참조)
3.Lovesan 바이러스가 내 컴퓨터에 어떤 손상을 입힐까요?
Lovesan 은 개인용 컴퓨터에 치명적인 피해를 주지 않는다. 컴퓨터에 침입하는 데이터를 삭제하거나 변경하거나 훔치지 않습니다.
Lovesan 의 파괴는 주로 대량의 바이러스 복제를 통해 글로벌 정보 흐름과 WWW 서비스를 차단하는 데 있다.
좀 낮춰요.
Lovesan 은 컴퓨터 부하를 늘리고 8 월 16 일 Windowsupdate.com 웹 사이트에 DdoS 공격을 시작합니다
이 경우 사용자는 Microsoft 업그레이드 사이트에서 패치를 다운로드할 기회를 잃게 됩니다.
카스퍼스키 랩은 16 년 8 월까지 Microsoft 에서 제공하는 관련 패치를 다운로드하는 것을 계속 강력하게 권장합니다.
4.Lovesan 은 어떤 버전의 Windows 운영 체제를 공격합니까?
Lovesan 은 Windows NT, 2000, XP 를 공격할 예정입니다.
A) Windows NT 4.0 서버
B) Windows NT 4.0 터미널 서버 에디션
C) 창 2000
D) Windows XP 32 비트 버전
E) Windows XP 64 비트 버전
F) Windows Server 2003 32 비트 버전
G) Windows Server 2003 64 비트 버전
내 컴퓨터를 바이러스로부터 어떻게 보호할 수 있습니까?
다음 단계에 따라 컴퓨터를 개선하십시오.
A) 바이러스 라이브러리를 업그레이드하여 인터넷 접속 시 실시간 모니터링 하에 있는지 확인합니다.
B) 차폐 방화벽 69, 135, 4444 3 개 포트.
C) DCOM RPC 취약점을 해결하기 위한 Microsoft 패치를 다운로드하여 설치합니다.
참고: 모든 DCOM RPC 취약점으로부터 컴퓨터를 보호하는 Microsoft 패치를 설치하는 것이 중요합니다.
공격을 병행하다.
방화벽은 Lovesan 바이러스를 위해 무엇을 할 수 있습니까?
방화벽은 악성 프로그램을 필터링하여 무단 액세스를 방지합니다. 게이트웨이 수준 방화벽의 경우 터미널 135, 69 및 4444 를 끕니다.
입, 개인 방화벽을 사용하는 사용자도 비슷한 구성을 사용해야 한다.
7. 내 컴퓨터가 자주 다시 시작되므로 마이크로소프트 패치를 다운로드할 수 없습니다. 어떻게 해야 할까요?
컴퓨터가 자주 재부팅되고 Lovesan 바이러스에 감염되었을 가능성이 있다면 시스템을 설치해야 합니다.
레코드에 있는 TFTP.EXE 파일 (일반적으로 c:\Windows\System32\) 의 이름을 바꾸고 Windows\System32 를 확인합니다.
\dllcache 파일이 정확합니다. Microsoft 관련 패치를 다운로드 및 설치한 후 이름이 바뀐 TFTP.EXE 를 원래 모양으로 복원해야 합니다.
의 이름입니다.
8. 컴퓨터가 Lovesan 바이러스에 감염되면 어떻게 합니까?
먼저 바이러스 백신 프로그램을 실행하고 현재 바이러스 라이브러리가 Lovesan 바이러스를 조사할 수 있는지 확인해야 합니다.
카스퍼스키 연구소는 로컬 하드 드라이브와 네트워크 드라이브에서 바이러스 파일을 삭제할 수 있는 특수 살인 도구를 제공합니다.
또한 시스템 레지스트리에서 바이러스에 의해 변경된 키 값을 완전히 제거합니다. Lovesan 바이러스가 제거되면 시스템이 재부팅됩니다.
재부팅 직후 안티바이러스 보호를 시작하십시오.
다음 링크에서 살인 도구를 다운로드하십시오.
압축된 버전:
Ftp://ftp.kaspersky.com/utils/clrav.zip
버전 압축 풀기:
Ftp://ftp.kaspersky.com/utils/clrav.com
도구 설명:
Ftp://ftp.kaspersky.com/utils/clrav _ readme.txt
9. 나는 Lovesan 의 살인 도구를 사용했지만, 컴퓨터는 반복적으로 감염되었다. 왜요
이 도구는 Lovesan 바이러스만 제거할 수 있지만 컴퓨터를 다시 유사한 공격으로부터 보호할 수는 없습니다.
장기적으로 효과적으로 피하는 방법은 제 5 조 FAQ 를 참조하십시오.
--
컴퓨터가 바이러스나 트로이 목마에 의해 공격당할 때 바이러스 버전으로 가십시오.
만약 당신이 바이러스 버전으로부터 혜택을 받는다면, 미래에 당신의 환자를 도와주십시오. 왜냐하면 당신은 그들의 상황을 잘 알고 있기 때문입니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 건강명언)
만약 바이러스 버전이 당신이 원하는 대로 되지 않는다면, 나중에 그들을 위해 바이러스에 대항한 경험을 그들에게 알려 주십시오.
바이러스 백신 기술에 관심이 있으면 바이러스 버전으로 가십시오. * * * 개선, * * * 컴퓨터 보안에 중점을 둡니다.
바이러스판은 모든 네티즌의 지원이 필요하다!
나는 이미 수리를 마쳤다. 왜 나는 항상 공격을 받는가?
위에서 언급한 69,135,4444 포트는 어떻게 닫습니까?