19 sierpnia 2003

Najczęściej zadawane pytania dotyczące robaka Lovesan

Wykrywanie i usuwanie z systemu robaka Lovesan.
  1. Czym różnią się wirusy Lovesan, Lovsan, Blaster, Msblast oraz Poza?

    Niczym - są to różne nazwy tego samego szkodnika. Na dzień dzisiejszy znane są trzy modyfikacje tego robaka i niektórzy twórcy oprogramowania antywirusowego dodali do nazwy przyrostki 'a', 'b' oraz 'c'.

  2. Skąd wiadomo, że komputer jest zainfekowany?

    • w folderze systemowym Windows (najczęściej C:\Windows\System32) znajdują się pliki Msblast.exe, Teekids.exe lub Penis32.exe;
    • komputer restartuje się co kilka minut po nawiązaniu połączenia z internetem;
    • pojawiają się problemy w funkcjonowaniu aplikacji MS Word, Excel oraz Outlook;
    • pojawiają się komunikaty o błędach wywoływanych przez plik svchost.exe;
    • na ekranie pojawia się poniższy komunikat:

  3. Jak Lovesan może uszkodzić komputer?

    Lovesan w żaden sposób nie uszkadza zainfekowanych komputerów. Szkodnik nie usuwa, nie zmienia, ani nawet nie przechwytuje żadnych danych. Robak szkodzi jednak w inny sposób - obciąża globalną sieć wysyłając mnóstwo pakietów podczas rozprzestrzeniania się.

    Dodatkowo szkodnik wyposażony jest w funkcję dodatkową (aktywowaną 16 sierpnia), która przeprowadza atak DDoS na serwerach systemu Windows Update. W rezultacie system udostępniający darmowe łaty dla systemów Windows może ulec awarii pozostawiając użytkowników bez możliwości załatania komputerów.

  4. Jakie wersje systemów Windows są podatne na ataki robaka Lovesan?

    Lovesan atakuje następujące wersje systemów Windows NT, 2000 oraz XP:

    • Windows NT 4.0 Server,
    • Windows NT 4.0 Terminal Server Edition,
    • Windows 2000,
    • Windows XP 32 bit Edition,
    • Windows XP 64 bit Edition,
    • Windows Server 2003 32 bit Edition,
    • Windows Server 2003 64 bit Edition.

  5. Jak można zabezpieczyć komputer przed robakiem Lovesan?

    W celu zabezpieczenia komputera przed atakami tego szkodnika należy wykonać następujące czynności:

    • uaktualnić użytkowany program antywirusowy i nie wyłączać go podczas korzystania z internetu;
    • zainstalować zaporę ogniową i zablokować porty 69, 135 oraz 4444;
    • pobrać łatę udostępnioną przez firmę Microsoft, która zlikwiduje lukę w protokole DCOM RPC wykorzystywaną przez wirusa do infekowania komputerów;

  6. Co to jest zapora ogniowa?

    Zapora ogniowa (ang. firewall) to specjalny program kontrolujący przepływ danych między internetem a komputerem, przy użyciu którego można zabezpieczyć komputer przed atakami hakerów.

  7. Jak zainstalować łatę dla systemu Windows?

    Firma Microsoft udostępniła łaty dla następujących wersji systemów Windows:

    Należy pobrać i uruchomić odpowiedni plik. Łaty wyposażone są w kreator, który przeprowadzi użytkownika przez proces instalacji.

  8. Nie mogę pobrać łaty udostępnionej przez firmę Microsoft, ponieważ mój komputer nieustannie się restartuje.

    Oznacza to, że komputer prawdopodobnie jest już zainfekowany robakiem Lovesan. W takim przypadku należy zmienić nazwę pliku TFTP.EXE (w folderze C:\Windows\System32 oraz C:\Windows\System32\dllcache). Oryginalną nazwę pliku TFTP.EXE należy przywrócić po zainstalowaniu łaty.

  9. Co zrobić jeżeli komputer jest już zainfekowany robakiem Lovesan?

    W takim przypadku należy uruchomić program antywirusowy upewniając się, że antywirusowe bazy danych są aktualne i zawierają sygnatury robaka Lovesan.

    Firma Kaspersky Lab opublikowała darmowe narzędzie umożliwiające usunięcie nowego szkodnika z systemu - CLRAV. Program lokalizuje robaka w systemie, dezaktywuje go, usuwa zainfekowane pliki z lokalnych i sieciowych dysków oraz przywraca poprawną postać folderu systemowego Windows. Gdy program zakończy czyszczenie systemu należy uruchomić ponownie komputer i przetestować wszystkie dyski za pomocą skanera antywirusowego.

    Narzędzie CLRAV można pobrać tutaj:

    Pełny opis narzędzia CLRAV znajduje się tutaj.

  10. Użyłem darmowego narzędzia do usuwania wirusa, lecz mój komputer ponownie jest zainfekowany.

    Program CLRAV usuwa wirusa z systemu lecz nie zabezpiecza przed dalszymi atakami. Opis zabezpieczenia komputera znajduje się powyżej w punkcie 5.

Szczegółowy opis wirusa Lovesan znajduje się tutaj.