第428章

2.约2/5概率，Lovesan会扫描感染机器上的本网段的IP地址。A和B的值与本网段相同，D值设为0，C的值以以下的方式产生：

如果本网络的C值小于20，那么lovesan不修改这个值，如，现在本网段的IP地址是207.46.14.1，则该蠕虫将扫描从207.46.14.0开始的网段。

Lovesan企图去下载安装msblast.exe文件，该文件有以下的文本

IjustwanttosayLOVEYOUSAN!!billygateswhydoyoumakethispossible?Stopmakingmoneyandfixyoursoftware!!

被感染后的征兆：

·在Windowssystem32文件夹中有MSBLAST.Exe文件

·提示错误信息：RPC服务失败，系统重启。

[HKEY_CURRENT_USER\Software\Policies\MicrosoftInternetExplorer\ControlPanel]"SecAddSites"=dword:1

排除办法：将上面这些DWORD值改为“0”即可恢复功能。

9、默认首页变灰色且按扭不可用的故障排除。

这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft

InternetExplorer\ControlPanel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改为“1”（即为灰色不可选状态）。

传播

Lovesan会在系统每次重启后，在系统注册表中注册以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runwindowsautoupdate="msblast.exe"

该蠕虫会扫描网络中的其它机器，企图感染有此漏洞的PC，它随机选择任意的20个IP地址，然后在间隔1.8秒后再去感染它任意选择的另外20个IP地址，Lovesan以以下的方式选择要扫描IP地址：

1约3/5概率，Lovesan会对IP地址（A.B.C.D）各个位置分别置值，A、B、C的数值在0-255之间随机选择，D段置零。

排除办法：将“homepage”的键值改为“0”即可。

=======================================================

lovesan是什么意思

Lovesan是利用微软的DCOMRPC漏洞（具体描述请参考MSSecurityBulletinMS03-026）进行传播的网络蠕虫病毒。

Lovesan用C语言编写，利用LCC编译，是WindowsPE可执行文件，大小约为6KB（用UPX压缩工具，解压后为11KB）。