Worm.Win32.Lovesan用C语言编写，利用LCC编译，是Windows PE可执行文件，大小约为6KB(用UPX压缩工具，解压后为11KB)。在被感染的系统者，Lovesan会下载并运行名为blast.exe文件，该文件中有以下的文字：“I just want to say LOVE YOU SAN!! Billy Gates why do you make this possible? Stop making money and fix your software”(我只想说爱你SAN！！比尔·盖茨，为什么你要使这种攻击成为可能？不要再赚更多的钱了，好好修正你的软件吧。)感染病毒后的系统现象：

　　l在Windows system32文件夹中存在MSBLAST.exe文件

　　l提示错误信息：RPC服务失败。由此造成系统重新启动。

　　病毒的传播机制：

　　Lovesan会在系统每次重启后，在系统注册表中注册以下键值：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runwindows auto update="msblast.exe"

　　然后蠕虫开始扫描网络中的IP地址，随机选择20个IP地址进行连接，并感染有此漏洞的计算机，在间歇1.8秒后再扫描另外的20个IP地址。

　　Worm.Win32.Lovesan下列方式之一扫描IP地址：

　　1.在60%的情况下，Lovesan随机选择基本的IP地址(A.B.C.D)，其中A、B、C为0-255间的随机值，而D值为零。

　　2.在其余情况下，Lovesan扫描该子网并获得本地染毒染机器的IP地址。从这些IP地址中取出A和B的值并设置D值为0，然后病毒按下列方式得到C的值：

　　如果C值小于等于20，Lovesan不作修改。即如果本地的IP地址是207.46.14.1，蠕虫将从207.46.14.0开始扫描。

　　如果C值大于20，Lovesan会在C和C减去19之间选择一个随机值。即如果染毒机器的IP地址是207.46.134.191，蠕虫将在207.46.{115-134}.0之间扫描。

　　Worm.Win32.Lovesan将通过TCP 135端口向受害计算机发送缓冲区溢出请求，然后在刚感染的计算机上开启TCP 4444端口启动远程shell。

　　Lovesan对开启4444端口的连接运行一个线程，等待从受害机器发出FTP的“get”请求。然后Lovesan强迫受害机器发送“FTP get”请求，从而从已染毒的计算机下载蠕虫并运行。这样，受害机器也被感染了。

　　一旦计算机被感染Lovesan，系统将发送RPC服务失败的出错信息，并可能重新启动计算机。

　　在2003年8月16日，Lovesan将对微软公司的Windowsupdate.com发起分布式拒绝服务(DDOS)攻击。

　　手动清除方法：

　　1.断开网络连接；

　　2.终止蠕虫程序的msblast.exe进程：对于Windows 95/98/ME系统，按CTRL+ALT+DELETE；对于Windows NT/2000/XP系统，按CTRL+SHIFT+ESC，选择进程标签页；

　　3.在运行的程序列表中,查找MSBLAST.EXE进程并终止此进程；

　　4.点击“开始”“运行”，输入Regedit，点击“确认”按钮，打开注册表管理器窗口；

　　5.展开注册表的下列项目：

　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

　　6.在窗口右边的列表中删除键值：Windows auto update = MSBLAST.EXE

　　病毒防范：如果你无法安装系统补丁，

　　在防火墙中禁止端口69、135、4444：端口135用于启动与远程计算机的RPC连接。在防火墙中禁止端口135有助于防止有人企图利用此漏洞攻击防火墙后面的系统。

　　Internet连接防火墙：如果您使用Windows XP或Windows Server 2003中的Internet连接防火墙功能来帮助保护您的Internet连接，则默认情况下，它将禁止来自Internet的入站RPC通信。

　　在所有未打补丁的计算机上禁用DCOM：当计算机属于某个网络的一部分时，DCOM网络协议可使该计算机上的COM对象能够与其他计算机上的COM对象通信。您可以对特定的计算机禁用DCOM以帮助防范他人利用此漏洞发动的攻击，但这将使该计算机上的对象无法与其他计算机上的对象通信。如果在远程计算机上禁用DCOM，则无法远程访问该计算机以重新启用DCOM。