学历 英文翻译:《一个lovesan的攻击》是怎么回事？

用的是卡巴吧，呵呵，我用的时候也出现过同类问题，以下是转载，希望对你有所帮助

病毒的起源：

2003年7月16日，微软公司发布了“RPC接口中的缓冲区溢出”的漏洞补丁。该漏洞存在于RPC中处理通过TCP/IP的消息交换的部分，攻击者通过TCP 135端口，向远程计算机发送特殊形式的请求，允许攻击者在目标机器上获得完全的权限并且可以执行任意的代码。

病毒制造者迅即抓住了这一机会，首先制作出了一个利用此漏洞的蠕虫病毒。俄罗斯著名反病毒厂商Kaspersky labs于2003年8月4日捕获了这个病毒，并发布了命名为Worm.Win32.Autorooter病毒的信息。

Worm.Win32.Autorooter是后门和蠕虫功能混合型的病毒。它包括三个组件——蠕虫载体、FTP服务器文件、攻击模块(通过微软漏洞)，攻击模块首先会引起操作系统缓冲器出溢同时并加载其它组件。由于Autorooter当时的版本没有自我复制功能，虽然在互联网传播有一些限制，但通过内置的FTP服务器会加载IRCvot木马程序。一旦运行该木马将允许黑客操控受害的计算机。

通过对Worm.Win32.Autorooter病毒的分析，Kaspersky的开创者Eugene Kaspersky准确地预见了：“我们认为现在这个病毒只是一个测试版，更多的变种可能即将出现，并对互联网造成严重的危害。Autorooter病毒制造者很可能是想先创建一个染毒的网络环境，然后为它后续的病毒感染或黑客攻击做铺垫。”

正如Eugene Kaspersky先前曾做过的很多预言一样(如首次预言病毒会通过NTFS文件系统中的数据流进行传播并一度引起反病毒界的争论，被后来陆续检测出此类病毒而得到证实，这类病毒的典型案例是广泛传播的Hybris)，一个星期后的2003年8月12日，Worm.Win32.Autorooter的新变种蠕虫病毒Worm.Win32.Lovesan出现了。

Lovesan的出现，给互连网立即带来了巨大的冲击，它能够向未安装上述补丁的系统发起攻击并迅速蔓延，还造成了一些系统的崩溃。

Worm.Win32.Lovesan用C语言编写，利用LCC编译，是Windows PE可执行文件，大小约为6KB(用UPX压缩工具，解压后为11KB)。在被感染的系统者，Lovesan会下载并运行名为blast.exe文件，该文件中有以下的文字：“I just want to say LOVE YOU SAN!! Billy Gates why do you make this possible? Stop making money and fix your software”(我只想说爱你SAN！！比尔·盖茨，为什么你要使这种攻击成为可能？不要再赚更多的钱了，好好修正你的软件吧。)感染病毒后的系统现象：

l在Windows system32文件夹中存在MSBLAST.exe文件

l提示错误信息：RPC服务失败。由此造成系统重新启动。

病毒的传播机制：

Lovesan会在系统每次重启后，在系统注册表中注册以下键值：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runwindows auto update="msblast.exe"

然后蠕虫开始扫描网络中的IP地址，随机选择20个IP地址进行连接，并感染有此漏洞的计算机，在间歇1.8秒后再扫描另外的20个IP地址。

Worm.Win32.Lovesan下列方式之一扫描IP地址：

1.在60%的情况下，Lovesan随机选择基本的IP地址(A.B.C.D)，其中A、B、C为0-255间的随机值，而D值为零。

2.在其余情况下，Lovesan扫描该子网并获得本地染毒染机器的IP地址。从这些IP地址中取出A和B的值并设置D值为0，然后病毒按下列方式得到C的值：

如果C值小于等于20，Lovesan不作修改。即如果本地的IP地址是207.46.14.1，蠕虫将从207.46.14.0开始扫描。

如果C值大于20，Lovesan会在C和C减去19之间选择一个随机值。即如果染毒机器的IP地址是207.46.134.191，蠕虫将在207.46.{115-134}.0之间扫描。

Worm.Win32.Lovesan将通过TCP 135端口向受害计算机发送缓冲区溢出请求，然后在刚感染的计算机上开启TCP 4444端口启动远程shell。

Lovesan对开启4444端口的连接运行一个线程，等待从受害机器发出FTP的“get”请求。然后Lovesan强迫受害机器发送“FTP get”请求，从而从已染毒的计算机下载蠕虫并运行。这样，受害机器也被感染了。

一旦计算机被感染Lovesan，系统将发送RPC服务失败的出错信息，并可能重新启动计算机。

在2003年8月16日，Lovesan将对微软公司的Windowsupdate.com发起分布式拒绝服务(DDOS)攻击。

手动清除方法：

1.断开网络连接；

2.终止蠕虫程序的msblast.exe进程：对于Windows 95/98/ME系统，按CTRL+ALT+DELETE；对于Windows NT/2000/XP系统，按CTRL+SHIFT+ESC，选择进程标签页；

3.在运行的程序列表中,查找MSBLAST.EXE进程并终止此进程；

4.点击“开始”à“运行”，输入Regedit，点击“确认”按钮，打开注册表管理器窗口；

5.展开注册表的下列项目：

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

6.在窗口右边的列表中删除键值：Windows auto update = MSBLAST.EXE

病毒防范：如果你无法安装系统补丁，

在防火墙中禁止端口69、135、4444：端口135用于启动与远程计算机的RPC连接。在防火墙中禁止端口135有助于防止有人企图利用此漏洞攻击防火墙后面的系统。

Internet连接防火墙：如果您使用Windows XP或Windows Server 2003中的Internet连接防火墙功能来帮助保护您的Internet连接，则默认情况下，它将禁止来自Internet的入站RPC通信。

在所有未打补丁的计算机上禁用DCOM：当计算机属于某个网络的一部分时，DCOM网络协议可使该计算机上的COM对象能够与其他计算机上的COM对象通信。您可以对特定的计算机禁用DCOM以帮助防范他人利用此漏洞发动的攻击，但这将使该计算机上的对象无法与其他计算机上的对象通信。如果在远程计算机上禁用DCOM，则无法远程访问该计算机以重新启用DCOM。