Aparecido durante o Verão de 2003, o vírus LovSan (conhecido igualmente sob os nomes W32/Lovsan.worm, W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B, WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm, Win32.Poza.B) é o primeiro vírus explorar a falha RPC/DCOM (Remote Procedure Call, ou seja, em português, chamada de procedimento distante) dos sistemas Microsoft Windows que permitem a processos distantes comunicar. Explorando a falha graças a uma profusão de tampão, um programa malicioso (como o vírus LovSan) pode tomar o controlo da máquina vulnerável. Os sistemas afectados são os sistemas Windows NT 4.0,2000, XP e Windows Server 2003.
O verme LovSan/Blaster é programado de maneira a varrer um intervalo de endereços IP aleatórios à procura de sistemas vulneráveis à falha RPC na porta 135.
Quando uma máquina vulnerável é encontrada, o verme abre o shell distante na porta TCP 4444, e força a máquina distante a fazer o download de uma cópia do verme no directório %WinDir% \ system32 lançando um comando TFTP ((porta 69 UDP) para transferir o ficheiro a partir da máquina infectada.
Uma vez o ficheiro descarregado, é executado e seguidamente cria entradas na base de registo a fim de se relançar automaticamente a cada reinício:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Para completar o quadro, o vírus LovSan/Blaster vai efectuar um ataque ao serviço WindowsUpdate de Microsoft a fim de perturbar a actualização das máquinas vulneráveis!!
A exploração da vulnerabilidade RPC provoca diversos disfuncionamentos nos sistemas afectados, vinculados à desactivação do serviço RPC (Processo svchost.exe/rpcss.exe). Os sistemas vulneráveis apresentam os sintomas seguintes:
paragem do sistema em 60 segundos, queira gravar todos os trabalhos correntes. Esta paragem foi iniciada por AUTORIDADE NT \ SYSTEM Windows deve agora começar
Para erradicar o verme LovSan, o melhor método consiste, em primeiro lugar, em desinfectar o sistema com a ajuda do conjunto de desinfecção seguinte :
Fazer o download do conjunto de desinfecção
Se o seu sistema reiniciar continuamente, é necessário desactivar o renício automático:
shutdown -a
Clique em O meu computador com o botão direito
Poderá restabelecer esta opção quando o seu sistema funcionar de novo normalmente.
É seguidamente indispensável actualizar o sistema com a ajuda do serviço Windows Update ou actualizando o seu sistema com o patch correspondente de acordo com o seu sistema de exploração
Por outro lado, na medida em que o vírus se propaga através da rede Microsoft Windows, é vivamente aconselhado instalar um firewall pessoal nas máquinas ligadas à Internet e que filtram as portas tcp/69, tcp/135 à tcp/139 e tcp/4444.