«Лаборатория Касперского» прогнозирует, что уже в ближайшие часы может начаться повторная глобальная эпидемия этой вредоносной программы, поскольку обе модификации «Worm.Win32.Lovesan» могут беспрепятственно существовать на одном и том же компьютере. «Иными словами, все компьютеры, зараженные оригинальной версией этого червя, скоро также будут атакованы его новой модификацией. Учитывая, что количество инфицированных систем сейчас достигает 300 тысяч, рецидив эпидемии будет означать по крайней мере удвоение этого числа, что повлечет за собой непредсказуемые последствия, комментирует Евгений Касперский, руководитель антивирусных исследований „Лаборатории Касперского“, В худшем случае мировое сообщество ждет повторение ситуации января 2003 г., когда из-за червя „Slammer“ значительно замедлилась работа интернета и наблюдались региональные отключения сети»… «Лаборатория Касперского» сообщает о начале крупномасштабной эпидемии нового сетевого червя Lovesan. За несколько часов он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров. Lovesan проникает на компьютеры через недавно обнаруженную брешь в сервисе DCOM RPC операционной системы Microsoft Windows и потенциально способен производить на подконтрольном компьютере любые манипуляции. Ошибке, которая была обнаружена лишь недавно, подвержены все серверные версии Windows NT, начиная с 4.0 и заканчивая Server 2003, что и обусловило взрывной характер эпидемии. Lovesan не первая вредоносная программа, атакующая компьютеры через эту брешь: лишь неделю назад в интернете был обнаружен червь Autorooter не имевший, в отличие от своего последователя, полнофункциональной системы автоматического распространения. «Лаборатория Касперского» прогнозировала подобное развитие событий и рекомендовала пользователям принять необходимые меры предосторожности. комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского». В процессе распространения Lovesan сканирует порт 135 TCP/IP в поисках уязвимых компьютеров и проверяет возможность проведения атаки. Если соответствующее обновление Windows не установлено, червь осуществляет закачку на компьютер своего файла-носителя MSBLAST.EXE. Этот файл затем регистрируется в секции автозагрузки системного реестра Windows и запускается. Опасность червя заключается даже не столько в несанкционированном проникновении на компьютеры пользователей, сколько в генерации огромного объема «мусорного» трафика, переполняющего каналы передачи данных интернета. продолжает Евгений Касперский. Основной вредоносной функцией Lovesan является активизирующийся 16 августа механизм DDoS-атаки на сайт windowsupdate.com, на котором находятся те самые обновления для операционных систем семейства Windows. В этот день веб-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего может стать недоступным. В целях противодействия угрозе необходимо немедленно установить обновление для Windows, закрывающее брешь, и по возможности заблокировать с помощью межсетевого экрана TCP/IP-порты 135, 69 и 4444, если они не используются другими приложениями. Более подробная техническая информация доступна в «Вирусной энциклопедии»: Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026… Является набором Win32 EXE-файлов (компонент). По своей функциональности схож с сетевым Win32-червем: распространяется по локальным или глобальным сетям, однако в данной версии червя эта функция полностью не реализована… Технологически новая модификация «Lovesan» ничем не отличается от оригинала. Изменения коснулись только имени файла-носителя червя (TEEKIDS.EXE вместо MSBLAST.EXE), технологии его упаковки (утилита FSG вместо UPX) и текстовых строк внутри программного кода, которые содержат ненормативную оскорбительную лексику в адрес Microsoft и антивирусных компаний. Пользователям Антивируса Касперского® данная угроза не страшна. Благодаря уникальной технологии эвристического анализа все продукты «Лаборатории Касперского» нейтрализуют новую версию «Lovesan» по умолчанию, без дополнительных обновлений. Как вылечить компьютер, заражённый вирусом Worm.Win32.Lovesan? 1) отключите зараженный компьютер от локальной сети (если он в сети) 2) запустите утилиту Касперского clrav.com Если утилита говорит «nothing to clean» (нечего удалять), запустите её в режиме сканирования командных файлов: из командной строки с параметром /scanfiles 4) перегрузите машину в режиме Safe Mode Все машины в локальной сети следует пролечить отдельно. «Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад, и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах»,
«На этот раз интернет спасла запрограммированная в Lovesan 1,8-секундная задержка между попытками заражения других компьютеров. В черве Slammer, вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было»,
(и многими другими I-Worm червями, включая :I-Worm.Navidad
)
I-Worm.Sircam
I-Worm.Goner
I-Worm.Klez.a,e-h
Win32.Elkern.c
I-Worm.Lentin.a-p
I-Worm.Tanatos.a-b
Worm.Win32.Opasoft.a-h
I-Worm.Avron.a-e
I-Worm.LovGate.a-l
I-Worm.Fizzer
I-Worm.Magold.a-e
Worm.Win32.Lovesan
5) запустите утилиту clrav.com еще раз
6) переустановите антивирусный пакет и обновите антивирусные базы
7) запустите антивирусный сканер и проверьте все диски