ウイルス情報
かかりやすさ:中
ラブサン・A
( Worm.Lovesan.a )
インターネット接続で感染する[異常起動]ワーム
- 別名_:
- MSブラスト、ブラスター
- 更新日:
- 2003年8月11日(月)
- ■感染したらどうなる
-
- 突然エラーメッセージを表示して、パソコンが再起動されます。その後、パソコンを起動するたびに数分で強制終了させられてしまいます。
(Windowsフォルダ下のSYSTEM32フォルダ内に送り込まれる「msblast.exe」 または「teekids.exe」、「penis32.exe」などがワームの実体)
- ■感染しないためには
-
- Windowsのセキュリティ修正プログラムとウイルス対策ソフトを最新にすること。
ファイアウォールを使っているとワームの攻撃を防ぐことができます。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心下さい。
- ■詳細情報
-
- ウイルスは連続した20個のTCPのポートを適当に開いていきます。なおその範囲は変化しつづけます。
(例; 2500-2520, 2501-2521, 2502-2522) この動作の意味は現在のところ不明です。
- 次のレジストリキーを作成します。
HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows?CurrentVersion?
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows?CurrentVersion?
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
ウイルスが実行されるとWebにつながっている他のパソコンのTCPポート135番に対して攻撃を仕掛け、攻撃対象が見つかるとそのパソコンの4444番TCPポートに遠隔プログラムを作成します。それによってWindowsフォルダ下のSYSTEM32フォルダ内に、TFTP UDP69番ポート経由で感染元のパソコンからMSBLAST.EXEをダウンロードさせます。