今天是:
设百科问答网为首页|收藏百科问答网|网站地图
百科问答网 - 帮您解决问题,分享成功经验

为什么我的电脑老受到来自lovesan的网络攻击


为什么我的电脑老受到来自lovesan的网络攻击


答案或建议:


Lovesan是利用微软的DCOM RPC漏洞(具体描述请参考MS Security Bulletin MS03-026)进行传播的网络蠕虫病毒。

  Lovesan用C语言编写,利用LCC编译,是Windows PE 可执行文件,大小约为6KB(用UPX压缩工具,解压后为11KB)。

  Lovesan企图去下载安装msblast.exe文件,该文件有以下的文本

  I just want to say LOVE YOU SAN!!billy gates why do you make this possible? Stop making money and fix yoursoftware!!

  被感染后的征兆:

  · 在Windows system32文件夹中有MSBLAST.Exe文件

  · 提示错误信息:RPC服务失败,系统重启。

  传 播

  Lovesan会在系统每次重启后,在系统注册表中注册以下键值:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runwindows auto update="msblast.exe"

  该蠕虫会扫描网络中的其它机器,企图感染有此漏洞的PC,它随机选择任意的20个IP地址,然后在间隔1.8秒后再去感染它任意选择的另外20个IP地址,Lovesan以以下的方式选择要扫描IP地址:

  1约3/5概率,Lovesan会对IP地址(A.B.C.D)各个位置分别置值,A、B、C的数值在0-255之间随机选择,D段置零。

  2. 约2/5概率,Lovesan会扫描感染机器上的本网段的IP地址。A和B的值与本网段相同,D值设为0,C的值以以下的方式产生:

  如果本网络的C值小于20,那么lovesan不修改这个值,如,现在本网段的IP地址是207.46.14.1,则该蠕虫将扫描从207.46.14.0开始的网段。

  如果C值大于20,那么Lovesan则在1-19之间选择一个数值,如,本网段被感染机器的IP地址是207.46.134.191,那么该蠕虫将在207.46.{115-134}.0之间扫描。

  Lovesan将通过TCP 135端口发送造成对方计算机缓冲区溢出的请求,被感染的计算机将开放TCP 4444端口,打开相应的command 界面。

  Lovesan对开放4444端口的计算机强行运行FTP的 get 请求,这样从感染的计算机上就下载了蠕虫病毒,如此,有漏洞的PC也随之感染。

  其它信息

  一旦感染上Lovesan,它将发送RPC服务失败的信息并重新启动计算机。到2003年8月13日,Lovesan将对Windowsupdate.com网站发起DDOS攻击。

转载请保留:http://www.baikewenda.com/tech/safe/6/9/a20153839.htm

推荐内容

敬请注意:百科问答网内容来源于网络或民间经验收集,仅供参考。其中有关健康疾病方面的内容请务必咨询专业医生或及时到医院治疗。
关于我们 - 广告服务 - 联系我们
百科问答网 Copyright ©2005 - 2011 www.baikewenda.com,All Rights Reserved
辽ICP备10007180号