Il primo campione del worm Lovsan é stato rilevato alle 19:22 GMT dell'11 Agosto, 2003.

L'eseguibile di 6176 byte, chiamato "msblast.exe", una volta decompresso, rivela circa 11 Kb di codice che serve a sfruttare il bug MS03-026/MS03-039 DCOM/RPC.

Tool di Disinfezione

F-Secure ha sviluppato uno speciale tool per la rimozione del worm Lovsan. Il tool puo essere scaricato da:

ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip

La documentazione per l'utilizzo del tool è reperibile all'indirizzo:

ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.txt

E' inoltre possibile rimuovere manualmente il worm seguendo i successivi passi:

1) Terminare il processo msblast.exe utilizzando il Task Manager di Windows

2) Cancellare il file msblast.exe dalla directory %system root%\system32

3) Rimuovere la seguente chiave dal registro di Windows:

'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update'

Disinfezione

Come eliminare il worm in 5 minuti

1) Avviare il computer infetto

2) Se appare la finestra di dialogo "Shutdown in 60 seconds", premere Start->Run (Avvio->Esegui) ed eseguire il comando 'shutdown -a'

3) Scaricare ed eseguire la patch Microsoft, per correggere il bug del servizio RPC, ai seguenti link:

http://www.microsoft.com/downloads/details.aspx? displaylang=it&FamilyID=F4F66D56-E7CE-44C3-8B94-817EA8485DD1

Patch per windows XP:
http://www.microsoft.com/downloads/details.aspx? displaylang=it&FamilyID=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA

Maggiori informazioni sono disponibili all'indirizzo:
http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS03-039.asp

4) Scaricare ed eseguire il tool F-LOVESAN di F-Secure per eliminare il virus:
ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip

5) Verificare la corretta installazione delle patch con il tool RPCheck:
RPCheck tool

Vulnerabilità Sfruttata

Lovsan sfrutta una vulnerabilità, "Buffer Overrun In RPC Interface" altrimenti conosciuta come DCOM/RPC o MS03-026. Questa vulnerabilità é stata scoperta il 16 Luglio 2003. I dettagli riguardo a questo bug sono consultabili presso:

http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

Il worm prova ad infettare i computer con sistema operativo Windows XP utilizzando l'exploit per Windows 2000. In alcuni casi queste macchine si riavviano periodicamente visualizzando il seguente messaggio di errore:

"This system is being shut down in 60 seconds by NT Authority/System due to an interrupted Remote Procedure Call (RPC)"
(Il sistema sarà spento tra 60 secondi da NT Autority/System a causa dell'interruzione di Remote Procedure Call RPC)

Questa dialog box è generata da windows, e viene visualizzata con la lingua del sistema installato

esempi:

Nota: Si potrà riscontrare un errore simile anche con sistemi operativi Windows 2003. Potrà succedere anche con sistemi Windows 2003 e Windows XP anche se la patch corretta è stata applicata. In questo caso il sistema non viene infettato ma solo riavviato.

IL TIMER SI PUO' ARRESTARE. Se la macchina continua a riavviarsi e non permette di scaricare ed applicare la patch, si può bloccare premendo Start->Run (Avvio->Esegui) ed eseguendo il comando 'shutdown -a'

Algoritmo di diffusione

Il worm usa un algoritmo di scansione sequenziale con punti di inizio casuali. L'algoritmo ha una modalità che predilige le reti vicine a quella dell'host infetto.

Un indirizzo IP ha una struttura di tipo: A.B.C.D
Prima il worm rileva l'indirizzo IP dell'host infetto e ne inserisce i valori nelle variabili sopra indicate.
Basandosi su un valore casuale tra 1 e 20, il worm "decide" se usare l'indirizzo IP dell'host come base per generare una lista di indirizzi da scandire, o se creare un indirizzo completamente casuale.
Se il numero casuale é maggiore o uguale a 12, viene usato l'indirizzo IP dell'host. In questo caso, se C (v. sopra) é maggiore di 20, il worm sottrae 20 da questo valore. D é sempre impostato a 0.

Se il worm sceglie di usare un indirizzo casuale da cui iniziare la scansione, genera A B e C da questi valori:

A da 1 a 254
B da 0 a 253
C da 0 a 253
D é sempre 0

Usando questi indirizzi di base, Lovsan inizia a scandire la Rete alla ricerca di macchine vulnerabili. L'algoritmo scandisce 20 host per volta, i bersagli sono indirizzi IP crescenti a partire dall'indirizzo di base. Il worm cerca di connettersi alla porta 135 su tutti i 20 host e controlla se la connessione ha avuto successo. In questo caso, Lovsan usa uno dei molti exploit DCOM per infiltrarsi nell'host. Esistono due valori codificati nell'exploit che vengono scelti a caso. Questi valori rendono l'exploit efficace su sistemi Windows 2000 o Windows XP. Quando l'exploit viene eseguito sulla macchina remota, apre una shell attraverso la quale il worm si copia sull'host usando il protocollo TFTP (Trivial File Transfer Protocol). Il client FTPS é presente in tutti i sistemi Windows 2000/XP e il worm contiene un server TFTP. Dopo che Lovsan si é copiato sull'host remoto, viene eseguito tramite la shell.

Infezione del sistema

Quando Lovsan entra in un sistema vulnerabile, viene rinominato in 'msblast.exe' e viene creato un riferimento a questo file nel registro di configurazione:

'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update'

In questo modo, il worm verrà eseguito ad ogni avvio di Windows.

Effetti

A partire dal 16 Agosto, le macchine infette da Lovsan invieranno una massiccia quantità di pacchetti al sito windowsupdate.com di Microsoft. In particolare, vengono inviati pacchetti da 40 byte alla porta 80 del server ad intervalli di 20 millisecondi. Questo potrebbe risultare in un attacco Distributed Denial-of-Service contro il sito web.

Il worm contiene questi testi (che non vengono mai visualizzati):

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Rilevazione

F-Secure Anti-Virus rileva il file Lovsan/MSBlast con gli aggiornamenti pubblicati in data odierna:

[FSAV_Database_Version]

Version=2003-08-12_01