Кто-нибудь LoveSun цеплял? Хоть знать бы, что он из себя представляет. Кроме того, что rpc использует, никаких сведений не найти. Если у кого в живом виде или хоть в каком сохранился очень прошу, пришлите на red_juice@pisem.net. Заранее спасибо.

Ах, жаль как - не знал, удалил уже:)

трудно по форуму поискать? было уже про это
http://www.wasm.ru/forum/index.php?action=vthread&forum=6&topic=2487

Sorry, поиск ничего не дал из-за разницы в написании. Но и в этом дизассембле есть брешь для слона. Уж не хотят ли они сказать, что вирус так легко размножался, просто разбрасываясь по случайным адресам в надежде, что его запустят? Намеков на удаленное администрирование или запуск там вроде бы нет либо эти места удалены из этических соображений, а это самое интересное и есть...

> Уж не хотят ли они сказать, что вирус так легко размножался, просто разбрасываясь по случайным адресам в надежде, что его запустят.

Че за бред? Его никто не должен запускать - он сам запускается без спроса, именно по этому он так быстро распространился, и сейчас живет у многих. Достаточно глянуть на статистику соединений - лично ко мне он стучится каждые 2-3 минуты. Патч не ставлю из этических соображений, просто tftp снес чтоб он не закачивался на мою тачку.

Если бы ещё лавсан был написан грамотно...
...из-за него рпц падает.

это из-за того, что он не определяет удаленную операционку, а на фонарь кидает эксплоит либо для ХР либо для 2к (вроде с вероятностью 8 к 2). если не угадал - повесил...

У меня проблем с установкой не было :) - мы долго друг другу не мешали. Потом все же я показал ему кто на тачке хозяин.

_Juicy
Есть 3 виря, могу кинуть:
1) Worm.Win32.Lovesan (MSBlast) + краткое (неполное) описание действий и кусок декомпилированного кода
2) I-Worm.Torvil.d + небольшое описание действий. Устанавливается как служба и при обнаруженной попытке удаления как-то блокирует прямой запуск приложений (выдается сообщение, что файл не найден. При этом файл нормально открывается встроенным в контекстное меню OllyDbg'ом).
3) I-Worm.Stator.a + маааленькое описание действий. Переименовывает все PE-файлы в VXD, записываясь под их именем. Распространяется под видом архива с фотографией (фотка у него в ресурсах). Вирь простой, но им все кабинеты информатики/программирования у нас в универе заражены.

Я хотел написать для них собсвенный антивирус (касперский не полностью чистит систему, кое-какие внесенные ими изменения остаются), но времени не хватило (к экзаменам готовлюсь).

LoveSan, plzzzz... Заранее огромное спасибо! Мне он собственно не как вирус нужен, просто за rpc берусь, а это весьма интересная реализация.
red_juice@pisem.net

И мне, если не сложно :)
Полный комплект. Лучше заархивировать, чтобы почтовики не прибили. Скажем, с паролем gfhjkm :)
Заранее спасибо :)
PS. kpoxa@lenta.ru :)

_Juicy
Kpoxa
Если чего-нибудь интересного по этим вирям накопаете (описания, интересные декомпилированные функции/техники), киньте мне на мыло, если не сложно.

Sk. Inc.

Дык бластер то давно декомпилировали и ссылка здесь была на эту декомпиляцию ;-)

Asterix
Если ты про ссылку A decompilation of the Lovesan/MSBLAST Worm - by Dennis Elser, то я ее видел. MSBlast - это не проблема, а вот Torvil покруче. После его удаления regedit разблокировывать ручками приходится, т.к. он, собака, его запуск в реестре запрещает (HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disabl eRegistryTools=0x1). Мелочь, а неприятно :(

Sk. Inc.
Я тут немножко к раздаче не успел, вышли плиз, особенно интересует статор, у нас он тоже в институте бушевал, специально писал на дельфи "антистатор", но потом винт рухнул, не статор'а ни антистатора, хотя может у парней остался... Если копия жива я тебе вышлю.