Aliases

Net-Worm.Win32.Lovesan.a (Kaspersky Lab) is also known as: Worm.Win32.Lovesan.a (Kaspersky Lab), W32/Blaster.worm.a (NAI),   W32.Blaster.Worm (NAV),   Win32.HLLW.LoveSan.based (DrWeb),   W32/Blaster-A (Sophos),   Win32/Msblast.A (RAV),   WORM_MSBLAST.A (PCCIL),   Worm/Lovsan.A (H+BEDV),   W32/Msblast.A (FPROT),   Win32:Blaster (AVAST),   Worm/Lovsan.A (AVG),   Worm.Lovesan.A (BitDef7),   Worm.Blaster.A (Clamav),   W32/Blaster (Panda),   Win32/Lovsan.A (Nod32)

Description added	20 Oct 2005
Comportement	Net-Worm, ver Internet

Détails Techniques

Lovesan est un ver Internet qui exploite la vulnérablité DCOM RPC dans Microsoft Windows, décrite dans le Bulletin de Sécurité MS MS03-026.

Lovesan est écrit en C à l'aide du compilateur LCC. Le ver est un fichier Windows PE EXE d'environ 6Ko (compressé via UPX - 11Ko après décompression).

Lovesan télécharge et tente d'exécuter le fichier “msblast.exe”.

Le texte se présente comme suit:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible? Stop making money and fix your software!!

• MSBLAST.Exe dans le dossier Windows system32.
• Message d'erreur: RPC service failure. Cela oblige le système à redémarrer.

Diffusion du ver

Lovesan s'enregistre dans la clé autorun lorsque le système redémarre et s'exécute à chaque fois que la machine démarre:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"

Lovesan scanne les adresses IP à l'aide d'une des techniques suivantes:

1. Dans 3 cas sur 5, Lovesan sélectionne des adresses IP de façon aléatoire (A.B.C.D) où D est égal à 0, alors que A, B et C sont des chiffres aléatoires entre 0 et 255.
   
   
2. Dans les deux autres cas, Lovesan scanne le sous-réseau et obtient les adresses IP locales de la machine infectée, en extrait les valeurs A et B et met D à 0. Le ver extrait ensuite la valeur C.

   Si C est inférieur ou égal à 20, alors Lovesan ne modifie pas C. Ainsi, si l'adresse IP locale est 207.46.14.1 le ver scannera les adresses IP à partir de 207.46.14.0

   Si C est supérieur à 20, alors Lovesan sélectionne une valeur aléatoire entre C et C-19. Ainsi, si l'adresse IP sur la machine infectée est 207.46.134.191, le ver scannera les adresses IP 207.46.{115-134}.0

Lovesan établit une connexion avec le port 4444 et attend que le serveur FTP reçoive la requête « get » en provenance de la machine victime. Le ver force alors la victime machine à envoyer la requête FTP get. Suite à quoi la machine victime télécharge le ver depuis la machine infectée et l'exécute. La victime est à son tour infectée.

Autre Information

Une fois l'ordinateur infecté, le système envoie un message d'erreur concernant une défaillance du service RPC et redémarre éventuellement la machine.

Depuis le 16 aôut 2003, Lovesan conduit des attaques de DDoS sur les serveurs Windowsupdate.com.