2017年小麦保护价:我的电脑受到网络攻击，我该怎么办？

地址218.59.40.127是山东省网通用户
蠕虫病毒 Worm.W32.Lovsan 正以其惊人的速度和破坏力在互联网上蔓延

全球著名数据安全公司 Kaspersky Labs 公司最新宣布：一种名为" Worm.W32.Lovsan "的
互联网蠕虫病毒正在迅速传播，该病毒的危险性极大。仅数小时，"Lovesan"病毒已迅速攀
升到恶性流行病毒排行榜的三甲位置。Kaspersky Labs 病毒专家强烈建议广大用户立即从
微软网站下载相关 补丁程序，尽快阻止69、135、4444端口。

Lovesan是利用微软的DCOM RPC漏洞（具体描述请参考MS Security Bulletin MS03-026）
进行传播的网络蠕虫病毒。

Lovesan用C语言编写，利用LCC编译，是Windows PE 可执行文件，大小约为6KB（用UPX压
缩工具，解压后为11KB）。

Lovesan企图去下载安装msblast.exe文件，该文件有以下的文本

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible? Stop making money and fix your soft
ware!!

被感染后的征兆：

· 在Windows system32文件夹中有MSBLAST.Exe文件
· 提示错误信息：RPC服务失败，系统重启。

传 播

Lovesan会在系统每次重启后，在系统注册表中注册以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"

该蠕虫会扫描网络中的其它机器，企图感染有此漏洞的PC，它随机选择任意的20个IP地址
，然后在间隔1.8秒后再去感染它任意选择的另外20个IP地址，Lovesan以以下的方式选择
要扫描IP地址：

1约3/5概率，Lovesan会对IP地址（A.B.C.D）各个位置分别置值，A、B、C的数值在0-255
之间随机选择，D段置零。

2. 约2/5概率，Lovesan会扫描感染机器上的本网段的IP地址。A和B的值与本网段相同，D
值设为0，C的值以以下的方式产生：

如果本网络的C值小于20，那么lovesan不修改这个值，如，现在本网段的IP地址是20
7.46.14.1，则该蠕虫将扫描从207.46.14.0开始的网段。

如果C值大于20，那么Lovesan则在1-19之间选择一个数值，如，本网段被感染机器的
IP地址是207.46.134.191，那么该蠕虫将在207.46.{115-134}.0之间扫描。

Lovesan将通过TCP 135端口发送造成对方计算机缓冲区溢出的请求，被感染的计算机将开
放TCP 4444端口，打开相应的command 界面。

Lovesan对开放4444端口的计算机强行运行FTP的'get'请求，这样从感染的计算机上就下载
了蠕虫病毒，如此，有漏洞的PC也随之感染。

其它信息

一旦感染上Lovesan，它将发送RPC服务失败的信息并重新启动计算机。
到2003年8月13日，Lovesan将对Windowsupdate.com网站发起DDOS攻击
Worm.Win32.lovesan 病毒解决方案

病毒名称：Worm.Win32.lovesan
发作时间：随机
病毒类型：蠕虫病毒
传播途径：网络/RPC漏洞
依赖系统： WINDOWS 2000/XP/2003
病毒尺寸：6,176 字节

病毒发作现象：

Worm.win32.lovesan 病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的，只要是计
算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞(RPC DCOM缓冲溢出漏洞的
详细信息, 请访问以下微软网页: http://www.microsoft.com/technet/treeview/?url=/
technet/security/bulletin/MS03-026.asp)，具体涉及的操作系统是：Windows2000、XP
、Server 2003。该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有
时会弹出RPC服务终止的对话框，并且系统反复重启, 不能收发邮件、不能正常复制文件、
无法正常浏览网页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到非法拒绝等。

下面是弹出RPC服务终止的对话框的现象：

病毒详细说明：

1. 病毒运行时会将自身复制到window目录下，并命名为： msblast.exe。

2. 病毒运行时会在系统中建立一个名为："BILLY"的互斥量，目的是病毒只保证在内存中
有一份病毒体，为了避免用户发现。

3. 病毒运行时会在内存中建立一个名为："msblast.exe"的进程，该进程就是活的病毒体
。

4. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe
rsion\Run中添加以下键值："windows auto update"="msblast.exe"，以便每次启动系统
时，病毒都会运行。

5. 病毒体内隐藏有一段文本信息：I just want to say LOVE YOU SAN!!billy gates wh
y do you make this possible ? Stop making money and fix your software!!

6. 病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP
/69端口上建立一个tftp服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进
行攻击，另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。

7. 当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。

8. 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。
然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到
目标计算机上并运行。

9. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系
统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Wind
ows Server2003系统的RPC服务崩溃，默认情况下是系统反复重启。

10. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"wi
ndowsupdate.com"发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。

清除步骤 :

1. 删除注册表中的自启动项目
删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行

●单击 开始>运行, 输入 Regedit, 然后按 Enter 键打开注册表管理器
●在左边的列表中双击以下项目：

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run

●在右边的列表中查找并删除以下项目
Windows auto update" = MSBLAST.EXE
● 关闭注册表编辑器.

2. 应用补丁

1. 建议所有受影响的用户安装微软在以下连接发布的补丁程序：

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03
-026.asp

（注：在打此补丁程序前，请确认该计算机系统已打补丁到SP2以上，否则无法安装）

3. 终止恶意程序
此步骤用于中止内存中运行的恶意程序进程。

●打开Windows任务管理器
CTRL+SHIFT+ESC,然后单击进程选项卡
●在运行的程序清单中*, 查找如下进程:
MSBLAST.EXE
●选择恶意程序进程，然后按"终止任务"或是"中止进程"按钮。
●为确认恶意程序进程是否中止，请关闭任务管理器并再次打开
● 关闭任务管理器
(如果无法终止恶意进程，请在打好系统补丁后重新启动系统)

4．升级您的病毒软件，全面扫描磁盘文件，清除病毒。

这是经常会出现的现象，不要着急，只要定期打补丁，升级杀毒软件，不要打开恶意网站基本没有什么问题，