Blaster

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Blaster (také známý jako Lovsan, Lovesan nebo MSBlast) byl Počítačový červ, který se rozšířil na počítačích se systémem Microsoft Windows XP a Windows 2000 , v průběhu 08. 2003 [1]

Červ byl poprvé zaznamenán a začal se šířit 11. srpna 2003. Rychlost, se kterou se šířil, se zvyšovala a počet infekcí dosáhl vrcholu 13. srpna 2003. Filtrování ISP a rozsáhlá publicita omezila šíření Blastera.

Dne 29. srpna 2003, Jeffrey Lee Parson, osmnáctiletý mladík z Hopkinsu v Minnesotě, byl zatčen pro vytvoření B varianty červa Blaster, přiznal se a byl odsouzen na 18 měsíců vězení v lednu 2005 [2]

Vznik a důsledky[editovat | editovat zdroj]

Podle soudních dokumentů, původní Blaster byl vytvořen poté, co bezpečnostní výzkumníci z čínské skupiny Xfocus použili reverzní inženýrství na původní Microsoft patch, který dovolil[zdroj?] pro provedení útoku [3]

Červ šíří tím, že využívá přetečení vyrovnávací paměti objevené polským bezpečnostním výzkumníkem skupiny Last Stage of Delirium [4] v DCOM RPC služby na dotčených operačních systémech, pro které byla oprava vydána o jeden měsíc dříve v [ http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx MS03 - 026 ] a později v [ http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx MS03 - 039 ]. To umožnilo červovi se šířit bez otevírání příloh uživatelů jednoduše tím, že "spamoval" do velkého počtu náhodných IP adres. Byly zjištěny čtyři aktivní verze po internetu [5]

Červ je naprogramován, aby začal SYN flood na portu 80 z windowsupdate. com v případě, že datum systému je po 15. srpnu a před 31. prosincem a po 15. dni dalších měsíců, čímž se vytváří DDoS proti stránce. [6]Poškození Microsoftu bylo minimální, protože cílená stránka byla windowsupdate.com, a ne windowsupdate.microsoft.com, na které byl přesměrován. Microsoft dočasně vypnul cílenou stránku ve snaze minimalizovat potenciální účinky červa.

Červí spustitelný soubor obsahuje dvě zprávy. První zní:

I just want to say LOVE YOU SAN!! soo much

Tato zpráva se dala červu alternativní název Lovesan. Druhá zní:

Billy Gates why do you make this possible? Stop making money
and fix your software! !

To je zpráva, Bill Gatesovi, spoluzakladateli společnosti Microsoft a cíl tohoto červa.

Červ také vytvoří následující položku registru tak, že se spustí při každém spuštění systému Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update=msblast. exe

Nežádoucí účinky[editovat | editovat zdroj]

Ačkoli červ může šířit pouze na počítačích s operačním systémem Windows 2000 nebo Windows XP (32 bit), může způsobit nestabilitu ve službě RPC na systémech Windows NT , Windows XP (64 bit) a Windows Server 2003 . Zejména, červ se nešíří v systému Windows Server 2003, protože systém Windows Server 2003 byl kompilován s /GS spínačem, který odhalil přetečení vyrovnávací paměti a ukončil RPCSS proces [7] Pokud dojde k infekci, buffer overflow způsobí, že služba RPC havaruje, vedoucí k tomu, že Windows zobrazí následující zprávu a poté se automaticky restartuje, obvykle po 60 sekundách. [8]

System Shutdown:
This system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM
Time before shutdown: hh: mm: ss
Message:
Windows must now restart because the Remote Procedure Call
(RPC) Service terminated unexpectedly.

To byl první náznak toho, že uživatel měl infekci, často k tomu došlo několik minut po každém startu na napadených počítačů. Jednoduché řešení k zastavení odpočítávání je spustit "shutdown -s" příkaz v příkazovém řádku Windows, [9] což mělo vedlejší následky, jako například prázdný (bez uživatelů) welcome screen. [10] Welchia červ měl podobný účinek. O několik měsíců později se vynořil červ Sasser, který způsoboval zobrazení podobných zpráv.

Odkazy[editovat | editovat zdroj]

  1. CERT Advisory CA - 2003-20 W32/Blaster červ [online]. Cert.org, [cit. 2010-09-23]. (anglicky) 
  2. Blaster worm author gets jail time [online]. infoworld, 28 January 2005, [cit. 2008-08-23]. An 18-month prison sentence is probably the best that Jeffrey Parson could have realistically hoped for. The U.S. authorities have demonstrated their determination to deal with virus writers and other cybercriminals," said Graham Cluley, senior technology consultant for security software company Sophos. Dostupné online. (anglicky) 
  3. Iain Thomson. FBI arrests 'stupid' Blaster.B suspect - V3.co.uk - formerly [online]. vnunet.com, [cit. 2010-09-23]. Dostupné online. (anglicky) 
  4. MSBlast W32.Blaster.Worm / LovSan :: removal instructions [online]. Able2know.org, 2003-08-12, [cit. 2010-09-23]. Dostupné online. (anglicky) 
  5. W32.Blaster.Worm [online]. Symantec, [cit. 2010-09-23]. Dostupné online. (anglicky) 
  6. W32.Blaster.Worm : Technical details [online]. symantec.com, December 9, 2003. Dostupné online. (anglicky) 
  7. Why Blaster did not infect Windows Server 2003 - Michael Howard's Web Log - Site Home - MSDN Blogs [online]. Blogs.msdn.com, 2004-05-26, [cit. 2010-09-23]. Dostupné online. (anglicky) 
  8. Blaster technical details - Trend Micro Threat Encyclopedia [online]. Trendmicro.com, [cit. 2011-03-25]. Dostupné online. (anglicky) 
  9. Blaster Worm-Virus or Its Variants Cause the Computer to Shutdown with an NT AUTHORITY\SYSTEM Error Message Regarding Remote Procedure Call (RPC) Service [online]. HP Customer Care. Dostupné online. (anglicky) 
  10. What is the Blaster Worm [online]. Techopedia, [cit. 2013-02-14]. Dostupné online. (anglicky) 


Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Blaster (computer worm) na anglické Wikipedii.