Lovsan

VIREN-INFORMATIONS-SEITE

NAME:	Lovsan
Stufe:	Gefahrenstufe sehr hoch
ALIAS:	MSBlast, Poza, Blaster, W32/Msblast, Lovesun
TYP:	Wurm
Größe:	6176 Bytes
F-PROT:	wird erkannt und beseitigt
Datum:	12.8.2003
Beseitigung	Tool zur Beseitigung

Erstmalig wurden Beispiele von Lovsan um 19:22 GMT am 11. August 2003 entdeckt.

Die 6176 Byte große Datei "msblast.exe" ist entpackt 11KB groß, welche die Sicherheitslücke MS03-026 DCOM/RPC auf Windows XP-Systemen ausnutzt.

Die von Lovsan genutzte Sicherheitslücke, ein "Buffer Overrun in RPC Interface", auch bekannt als DCOM/RPC und MS03-026, wurde erstmals am 16. Juli 2003 von Microsoft veröffentlicht und man findet weitere Informationen unter http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

Der Wurm versucht Windows XP Rechner mit einer Windows 2000 Sicherheitslücke angreifbar zu machen. In vielen Fällen veranlasst der Wurm Windows XP-Rechner zu einem periodischen Neustart mit folgender Fehlermeldung:

This system is being shut down in 60 seconds by NT Authority/System due to an interrupted Remote Procedure Call (RPC)

Dieser Dialog stammt von Windows selbst und erscheint in der jeweilig eingestellten Sprache.

Anmerkung: Evtl. sehen Sie eine ähnliche Fehler-Meldung unter Windows 2003. Außerdem kann dieses vorkommen, auch wenn Sie die Sicherheits-Patches von Microsoft eingespielt haben. Allerdings werden diese Rechner nicht infiziert, sondern starten (rebooten) nur das System neu.

SIE KÖNNEN DEN SHUTDOWN TIMER UNTERBRECHEN. Falls Ihr Rechner so oft rebootet, dass Sie nicht einmal die Patches herunterladen können, dann benutzen Sie das Kommando 'shutdown', um das Rebooten zu unterbinden. Wenn Sie den Shutdown-Dialog sehen, klicken Sie auf Start/Run und tippen 'shutdown -a' und Enter.

Ausbreitung

Der Wurm benutzt einen Algorithmus, der sequentiell scannt und von einem zufälligen Punkt aus startet. Der Algorithmus sucht bevorzugt in Netzwerken des infizierten Systems.

Eine IP-Adresse hat die Struktur A.B.C.D.

Zunächst übernimmt der Wurm die IP-Adress des infizierten Host und setzt sie in oben angegebene Variable ein.

Ausgehend von einer Zufallszahl zwischen 1 und 20, nimmt er entweder die IP-Adresse als Basis der Suche nach weiteren Clients oder er generiert eine vollkommen neue Zufalls-IP.

Falls die Zufallszahl größer oder gleich 12 ist, nutzt der Wurm die IP-Adresse. Dann, falls C größer als 20 ist, subtrahiert der Wurm davon 20 . D wird dann immer auf 0 gesetzt.

Falls der Wurm eine vollkommen neue Zufalls-IP generiert, so setzen sich A, B und C aus folgenden Zahlen zusammen:

A von 1 bis 254
B von 0 bis 253
C von 0 bis 253
D ist immer 0

Von diesen Adressen ausgehen sucht der infizierte Rechner nach angreifbaren Systemen. Der Algorithmus sucht 20 Hosts gleichzeitig, die Ziele sind aufeinanderfolgende IP-Adressen ausgehend von der IP-Basis. Der Wurm versucht den Port 135 auf allen 20 Clients zu erreichen und prüft, ob die Verbindung erfolgreich ist. In diesem Fall nutzt Lovsan einen der vielen DCOM Sicherheitslücken, um das System zu manipulieren. Es gibt 2 festprogrammierte Werte in den Sicherheitslücken, die zufällig ausgewählt werden. Diese Werte ermöglichen es, entweder auf Windows 2000 oder Windows XP Systemen wirksam zu werden. Wenn der Eingriff in das System auf einem entfernten Rechner ausgeführt wird, so wird eine Shell geöffnet, die den Wurm selbst auf das System mittels TFTP (Trivial File Transfer Protocol) kopiert. Der FTPS-Client wird bei Windows 2000/XP-Systemen mit installiert und der Wurm hat einen eingebauten TFTP-Server. Nachdem der Wurm auf dem Remote-Rechner kopiert wurde, startet ihn die Shell.

Infizierung des Systems

Wenn Lovsan in ein verwundbares System eingedrungen ist, fügt er die Datei 'msblast.exe' in die Rgistry als Start-Programm ein:
'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update'
Dadurch wird der Wurm bei jedem Start von Windows automatisch mitgestartet.

Schadfunktion

Ab dem 16. August versenden Rechner, die mit Lovsan verseucht sind, eine sehr große Anzahl von Packeten nach windowsupdate.com. 40 Byte große Packete werden in 20-Millisekunden-Intervallen auf Port 80 'gefeuert'. Dieses könnte einen Distributed Denial-of-Service Angriff auf diese Website hervorrufen.
Laut Auskunft von Microsoft sollen jedoch bereits am 12.8.2003 gegen Mittag Vorkehrungen getroffen worden sein, die dieses verhindern.

Der Wurm enthält folgenden Text, der nicht angezeigt wird:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

F-PROT erkennt diesen Wurm mit Updates vom 11.8.2003

Sie finden ein Tool zur Beseitigung unter:
ftp://ftp.f-prot-antivirus.de/pub/tools/f-lovsan.exe

Sie können den Wurm auch manuell mit den folgenden Schritten beseitigen:

1. Schalten Sie die Windows XP System Wiederherstellung aus.

2. Beenden Sie den msblast.exe Prozess über den TaskManager

3. Löschen Sie msblast.exe vom Windows System Verzeichnis

4. Entfernen Sie den folgenden Registry-Eintrag
'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update'

5. Spielen Sie den Microsoft-Patch ein.

Sie können auch Windows XP's interne Firewall einschalten, um den Zugriff auf Port 135 zu verhindern:
http://www.microsoft.com/windowsxp/home/using/productdoc/en/hnw_enable_firewall.asp

[Analyse: Gergely Erdelyi; F-Secure Anti-Virus Research Team; 11-12th of August, 2003
Deutsche Übersetzung: F-PROT in Deutschland]