Blaster (robak komputerowy)

Blaster

Zrzut szesnastkowy robaka Blaster, przedstawiający wiadomość pozostawioną przez programistę założycielowi firmy Microsoft , Billowi Gatesowi
Nazwa techniczna	jako Blaster Worm.Win32.Blaster (globalne Hauri) W32/Blaster (Norman) W32/Blaster ( Sophos ) W32.Blaster.Worm ( Symantec ) jako Lovsan Lovsan ( F-Secure ) W32/Lovsan.robak ( McAfee ) jako MSBLAST Worm.Win32.Blaster (globalne Hauri) Win32/Msblast (Microsoft) WORM_MSBLAST ( Trend Micro ) WORM_MSBLAST.[litera] (Trendmicro) Win32.Poza (CA) Blaster (Panda)
Skróty	Lovsan, Lovesan, MSBlast
Typ	Robak
Izolacja	2004
Punkt pochodzenia	Minnesota (tylko wariant B)
Autorski)	Jeffrey Lee Parson (tylko wariant B)
Używane porty	Zdalne wywołanie procedury
Dotyczy to systemów operacyjnych	Windowsa XP i Windowsa 2000

Blaster (znany również jako Lovsan , Lovesan lub MSBlast ) był robakiem komputerowym , który rozprzestrzeniał się na komputerach z systemami operacyjnymi Windows XP i Windows 2000 w sierpniu 2003 roku.

Robak został po raz pierwszy zauważony i zaczął się rozprzestrzeniać 11 sierpnia 2003 r. Szybkość jego rozprzestrzeniania rosła, aż liczba infekcji osiągnęła szczyt 13 sierpnia 2003 r. Po zainfekowaniu sieci (takiej jak firma lub uniwersytet) rozprzestrzeniała się ona szybciej w sieci, ponieważ zapory ogniowe zwykle nie uniemożliwiają maszynom wewnętrznym korzystania z określonego portu. Filtrowanie przez dostawców usług internetowych i szeroki rozgłos na temat robaka ograniczyły rozprzestrzenianie się Blastera.

We wrześniu 2003 roku Jeffrey Lee Parson, 18-latek z Hopkins w stanie Minnesota , został oskarżony o stworzenie wariantu B robaka Blaster; przyznał się do odpowiedzialności iw styczniu 2005 roku został skazany na 18 miesięcy więzienia . Autor oryginalnego wariantu A pozostaje nieznany.

Kreacja i efekty

Według dokumentów sądowych oryginalny Blaster powstał po tym, jak badacze bezpieczeństwa z chińskiej grupy Xfocus dokonali inżynierii wstecznej oryginalnej poprawki Microsoftu, która umożliwiła przeprowadzenie ataku.

Robak rozprzestrzenia się poprzez wykorzystanie przepełnienia bufora wykrytego przez polską grupę badawczą ds . . Umożliwiło to rozprzestrzenianie się robaka bez otwierania załączników przez użytkowników po prostu poprzez wysyłanie spamu na dużą liczbę losowych adresów IP. Na wolności wykryto cztery wersje. Są to najbardziej znane exploity pierwotnej luki w RPC, ale w rzeczywistości było jeszcze 12 różnych luk, które nie spotkały się z tak dużym zainteresowaniem mediów.

Robak został zaprogramowany tak, aby uruchamiał atak SYN flood na port 80 witryny windowsupdate.com , jeśli data systemowa wypada po 15 sierpnia i przed 31 grudnia oraz po 15 dniu innych miesięcy, tworząc w ten sposób rozproszony atak typu „odmowa usługi ” (DDoS) na strona. Szkody poniesione przez firmę Microsoft były minimalne, ponieważ celem była witryna windowsupdate.com, a nie windowsupdate.microsoft.com, do której została przekierowana ta pierwsza. Firma Microsoft tymczasowo zamknęła docelową witrynę, aby zminimalizować potencjalne skutki działania robaka. ^{[ potrzebne źródło ]}

Plik wykonywalny robaka, MSBlast.exe, zawiera dwa komunikaty. Pierwsza brzmi:

Chcę tylko powiedzieć KOCHAM CIĘ SAN!!

Ta wiadomość nadała robakowi alternatywną nazwę Lovesan. Drugi brzmi:

Billy Gates, dlaczego to umożliwiasz? Przestań zarabiać i napraw swoje oprogramowanie!!

To jest wiadomość do Billa Gatesa , współzałożyciela Microsoftu i celu robaka.

Robak tworzy również następujący wpis w rejestrze, dzięki czemu jest uruchamiany przy każdym uruchomieniu systemu Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Windows auto update=msblast.exe

Oś czasu

• 28 maja 2003: Microsoft wydaje poprawkę, która chroni użytkowników przed exploitem w WebDAV, którego używa Welchia . (Welchia używała tego samego exploita co MSBlast, ale miała dodatkową metodę propagacji, która została naprawiona w tej łatce. Metoda ta została użyta dopiero po 200 000 ataków RPC DCOM – w formie używanej przez MSBlast.)
• 5 lipca 2003: Sygnatura czasowa poprawki wydanej przez Microsoft 16 lipca.
• 16 lipca 2003: Microsoft wydaje poprawkę, która chroni użytkowników przed nieznanym jeszcze MSBlast. W tym samym czasie opublikowali również biuletyn opisujący exploit.
• Około 16 lipca 2003 r.: Hakerzy w białych kapeluszach tworzą kod sprawdzający koncepcję weryfikujący, czy niezałatane systemy są podatne na ataki. Kod nie został wydany.
• 17 lipca 2003: CERT/CC wydaje ostrzeżenie i sugeruje zablokowanie portu 135.
• 21 lipca 2003: CERT/CC sugeruje również zablokowanie portów 139 i 445.
• 25 lipca 2003: xFocus publikuje informacje o tym, jak wykorzystać błąd RPC, który Microsoft wypuścił 16 lipca, aby naprawić.
• 1 sierpnia 2003: Stany Zjednoczone ostrzegają przed złośliwym oprogramowaniem wykorzystującym błąd RPC.
• Jakiś czas przed 11 sierpnia 2003: Istnieją inne wirusy wykorzystujące exploit RPC.
• 11 sierpnia 2003: Oryginalna wersja robaka pojawia się w Internecie.
• 11 sierpnia 2003: Symantec Antivirus wydaje szybką aktualizację zabezpieczeń.
• 11 sierpnia 2003, wieczór: Firmy antywirusowe i zabezpieczające wydały alerty dotyczące uruchomienia usługi Windows Update.
• 12 sierpnia 2003: Liczba zainfekowanych systemów wynosi 30 000.
• 13 sierpnia 2003: Pojawiają się i zaczynają rozprzestrzeniać dwa nowe robaki. (Sophos, wariant MSBlast i W32/RpcSpybot-A, całkowicie nowy robak wykorzystujący ten sam exploit)
• 15 sierpnia 2003: Liczba zainfekowanych systemów wynosi 423 000.
• 16 sierpnia 2003: Rozpoczyna się atak DDoS na witrynę windowsupdate.com. (W dużej mierze nieskuteczne, ponieważ ten adres URL jest jedynie przekierowaniem do prawdziwej witryny, windowsupdate.microsoft.com).
• 18 sierpnia 2003: Microsoft wydaje ostrzeżenie dotyczące MSBlast i jego wariantów.
• W Internecie pojawia się pokrewny pomocny robak Welchia .
• 19 sierpnia 2003: Symantec podnosi ocenę ryzyka Welchia do „wysokiego” (kategoria 4).
• 25 sierpnia 2003: McAfee obniża ocenę ryzyka do „średniej”.
• 27 sierpnia 2003: W jednym wariancie robaka wykryto potencjalny atak DDoS na HP.
• 1 stycznia 2004: Welchia usuwa się.
• 13 stycznia 2004: Microsoft udostępnia samodzielne narzędzie do usuwania robaka MSBlast i jego wariantów.
• 15 lutego 2004: W Internecie zostaje odkryta odmiana powiązanego robaka Welchia.
• 26 lutego 2004: firma Symantec obniża ocenę ryzyka związanego z robakiem Welchia do „Niskiego” (kategoria 2).
• 12 marca 2004: McAfee obniża ocenę ryzyka do „niskiej”.
• 21 kwietnia 2004: Odkryto kolejny wariant.
• 28 stycznia 2005: Twórca wariantu „B” programu MSBlaster zostaje skazany na 18 miesięcy więzienia.

Skutki uboczne

Chociaż robak może rozprzestrzeniać się tylko w systemach z systemem Windows 2000 lub Windows XP , może powodować niestabilność usługi RPC w systemach z innymi wersjami systemu Windows NT , w tym Windows Server 2003 i Windows XP Professional x64 Edition . W szczególności robak nie rozprzestrzenia się w systemie Windows Server 2003, ponieważ system Windows Server 2003 został skompilowany z przełącznikiem /GS, który wykrywał przepełnienie bufora i zamykał proces RPCSS. Gdy wystąpi infekcja, przepełnienie bufora powoduje awarię usługi RPC, co powoduje, że system Windows wyświetla następujący komunikat, a następnie automatycznie uruchamia się ponownie, zwykle po 60 sekundach.

Zamknięcie systemu:

Ten system się wyłącza. Zapisz wszystkie prace w toku i wyloguj się. Wszelkie niezapisane zmiany zostaną utracone. To zamknięcie zostało zainicjowane przez NT AUTHORITY\SYSTEM

Czas przed wyłączeniem: godziny:minuty:sekundy

Wiadomość:

System Windows musi teraz zostać ponownie uruchomiony, ponieważ usługa zdalnego wywoływania procedur (RPC) została nieoczekiwanie zakończona.

Była to pierwsza wskazówka, że ​​wielu użytkowników miało infekcję; często zdarzało się to kilka minut po każdym uruchomieniu na zaatakowanych maszynach. Prostym sposobem na zatrzymanie odliczania jest uruchomienie polecenia „shutdown /a”, co powoduje pewne skutki uboczne, takie jak pusty (bez użytkowników) ekran powitalny. Robak Welchia miał podobny efekt. Kilka miesięcy później robak Sasser , który spowodował wyświetlenie podobnego komunikatu.

Zobacz też