Lovsan (или MSBlast) - мощный сетевой червь, основная задача которго расплодиться по всем компьютерам, имеющим доступ к Интернету.

Удивительная вещь - каждая последующая операционка становится все более неприступной для хакерских атак, а между тем, эти самые атаки носят все более мощный разрушительный характер и даже не думают слабеть.

Первую атаку новый компьютерный червь нанес 11 августа по компьютерным сетям США. За несколько часов работы червь побил все рекорды скорости распространения. В штатах он долго не задержался и стал лавинообразно распространяться дальше. Интернет-форумы тут и там пестрели сообщениями о том, что машины начинают самопроизвольно перезапускаться. В среду утром появилась информация о том, что новый вирус успел уже поразить 400 компаний по всему миру и около 20 тыс. персоналок. Что же это за зверь такой страшный?

За пару дней вирус успел приобрести несколько имен (W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec Security]) и стал определяться всеми антивирусными программами. Для проникновения на компьютер Lovsan использует обнаруженную 16 июля хакерской группой Last Stage of Delerium уязвимость в системах Windows NT 4.0, Windows 2000 и Windows XP. Бреш была обнаружена в службе DCOM RPC. Distributed Component Object Model (распределенная компонентная объектная модель) - это модель обмена данными, служащая для совместной работы различных приложений. А RPC (Remote Procedure Call) - это служба, обеспечивающая соединение между клиентом и сервером, используемая архитектурой DCOM.

Незамедлительно после выхода в свет сообщения об уязвимости, всеми любимая корпорация подтвердила эту информацию и классифицировала дыру, как опасную. Через пять дней Microsoft уже выпустила в свет заплатки, закрывающие брешь. Все вроде хорошо, да вот только большинство пользователей не обратили внимания на это происшествие и никаких заплаток на свой компьютер не ставили.

В первых числах августа появился первый червь, проникающий в систему через вышеописанную брешь - Autorooter. Вирус имел слабое место - система распространения практически не реализована. Поэтому шум вокруг него затих, и должного внимания инциденту не уделили, а зря…

И вот, меньше чем через две недели появляется новый червь с прекрасно реализованной системой распространения. Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете - вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин, висящих в инете. Если преград для внедрения в систему жертвы нет (Windows подходящий, заплатки не стоят), то червь начинает атаку. На порт 135 червь посылает запрос для предоставления полного доступа к атакуемому. Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. Одновременно червяк слушает порт 69 UDP на первоначально зараженном компьютере. Как только от новой жертвы к нему поступает TFTP-запрос, червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175 байт. Файл записывается в системную папку Windows и запускается.

В коде червя был обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое Программное обеспечение!). I just want to say LOVE YOU SAN!! Bill (Просто хочу сказать - любите свои системные сети).

Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". Некоторые отечественные СМИ букву "a" заменили на "u", видимо подумав, что название происхо-дит от слова "sun".

Для простого юзера главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика, переполняющего каналы передачи данных интернета. Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой вида: