axa, msblast/lovsan je prilicno dosadan zato sto je siri bez ikakve intervencije korisnika, dovoljno je imate racunar sa w2k/wxp i internet konekciju. navodno virus napada i NT 4.0, mada meni nije jasno bas to, posto koristi rpc buffer overrun exploit, a rpc je uveden sa w2k koliko ja znam, plus nisam ga nasao na NT 4.0 masinama. kopira se preko porta 135, i ima u sebi tftp server koji random izborom otvara konekcije ka 20 FTPS klijenata, na nekom ip subnetu. naknadno otvara cmd shell na portu 4444, tako da lepo moze da se pristupi zarazenoj masini.
kako znati da je prisutan?
evo pod 1. zasto je virus prilicno nesrecno uradjen.
kod XP masina ce se pojaviti gore opisana poruka, dakle shutnuce sistem, i tako dok ga ne skines. kod w2k masina ne radi bas to, ali svchost.exe sjebava i stosta na sistemu, ukljucujuci i clipboard, pa onda ne radi copy/paste. tako da je vise nego ocigledan, i sto je jos vaznije nepodnosljiv.
kako ga skinuti?
vrlo lako. otvori task manager i u procesima nadji msblast.exe i ubi ga. posle ga i obrisi iz win/system32 direktorijuma, i na kraju ga izbaci iz registryja HKLM/software/microsoft/windows/currentversion/run, kljuc je "windows auto update" vrednost je msblast.exe (podize ga zajedno sa sistemom).
to je to, virus vise nije prisutan.
da se ne bi opet vratio, potrebno je staviti i patch sa m$ovog sajta, za w2k je neophodan sp2, sp3 ili sp4, da bi se instalirao patch, tako da ukoliko nemate nikakav sp, evo idealne prilike da se updateujete.
e, sad sta s tim?
pa eto svi zarazeni racunari su setovani da 16.08 i 15 svakog narednog meseca salju masovno zahteve na windowsupdate.com, sto po recima "strucnjaka" bi trebalo da bude "najveci DDOS ikada". dakle, evo glavnog dokaza da ovaj virus nije delo hakera/talentovanog programera iz maminog i tatinog podruma/bubuljicavog sociopate iz ko zna koje zemlje, kao sto je ciljano od strane autora da verujete. windowsupdate.com je virtuelni domen koji samo vrsi redirekciju na pravi sajt, tj windowsupdate.microsoft.com. svako ko je nesto trazio na m$ovom sajtu zna da su svi domeni third level, sa default suffixom microsoft.com, a da su ostali domeni ocigledno tu za redirekciju (kupljeni zbog jednostavnosti i da ih neko drugi ne bi kupio, standardna praksa). dakle neko ko ima talenta da isprogramira ovakav virus sigurno nije na nivou korisnika koji ne poznaje neke od osnovnih lokacija na netu, kao sto je ms.com . dodatni dokaz na ovo je poruka u samom fajlu koja glasi ovako nekako "i just want to say I LOVE YOU SAN" (to bi trebalo da nas uputi na sociopatske poremecaje autora" i u nastavku "billy gates why you make this hapen? stop making money and fix your software" (sto bi trebalo da nam pokaze da je covek zagrizeni poznavalac svega od M$, pa da shvata sve probleme njihovog softvera i zeli da podeli to sa svetom, tj stereotipna slika "hakera", koji naravno nije iz USA, jer engleski prica kao indijanac).
Sta je bilo 16.08?
Nista, m$ je naravno iskljucio redirekciju na target domenu i nista se nije desilo.
Posto je virus jos jednom podvlacim NEPODNOSLJIV dobar deo ljudi je bio *PRIMORAN* da ga se otarasi.
Pa ko onda?
Nemam pojma jos uvek. Najveci "producenti" ovakvih vristecih virusa su antivirus kompanije, koje su zestok profit navukle za ovih nedelju dana. Recimo Symatec mi je sumnjiv, jer su objavili juce da je zarazeno 400.000 racunara u celom svetu. Ocigledno je cifra dosta veca, ali njima nije u interesu da objave neku realnu procenu. Plus maestralna glupost sa napadom na tako reci "nepostojeci" sajt je odlicna jer nikakve dalje istrage nisu morale da se izvode, sto bi u slucaju onog "najveceg DDOS" sigurno bilo danima na svim vestima.
i ?
i nista, ne moras previse da se brines, cim pokpis virus zna ces, i moci ces lako da ga skines, gore opisano, ali najbolje odmah skini patch ako vec nisi, i zaboravi na ovo, osim ako nemas afinitet ka politici.