Blaster (компьютерный червь) - Blaster (computer worm)

Шестнадцатеричный дамп червя Blaster, показывая сообщение, оставленное для Microsoft основатель Билл Гейтс программистом

Blaster Worm (также известен как Ловсан, Lovesan, или же MSBlast) был компьютерный червь которые распространяются на компьютеры, работающие операционные системы Windows XP и Windows 2000 в августе 2003 г.[1]

Червь был впервые замечен и начал распространяться 11 августа 2003 г. Скорость его распространения увеличивалась, пока число заражений не достигло пика 13 августа 2003 г. После заражения сети (например, компании или университета) он распространялся быстрее внутри сети, поскольку брандмауэры обычно не препятствуют внутренним машинам использовать определенный порт.[2] Фильтрация интернет-провайдерами и широкая огласка червя сдерживали распространение Blaster.

12 марта 2004 г. Джеффри Ли Парсон, 18-летний парень из Хопкинс, Миннесота, был арестован за создание варианта B червя Blaster; он признал свою ответственность и был приговорен к 18 месяцам тюремного заключения в январе 2005 года.[3]

Создание и эффекты

Согласно судебным документам, оригинальный Blaster был создан после того, как исследователи безопасности из китайской группы Xfocus реконструированный оригинальный патч Microsoft, который позволил провести атаку.[4]

Червь распространяется, используя переполнение буфера обнаружена польской исследовательской группой Last Stage of Delirium[5] в DCOM RPC для затронутых операционных систем, для которых месяцем ранее в MS03-026 а позже в MS03-039. Это позволяло червю распространяться без открытия вложений пользователями, просто рассылая спам на большое количество случайных IP-адресов. Четыре версии были обнаружены в дикой природе.[6] Это наиболее известные эксплойты изначальной уязвимости RPC, но на самом деле было еще 12 различных уязвимостей, которые не привлекли столько внимания средств массовой информации.[7]

Червь был запрограммирован на запуск SYN флуд против порта 80 из windowsupdate.com если системная дата находится после 15 августа, до 31 декабря и после 15 числа других месяцев, тем самым создавая распределенная атака отказа в обслуживании (DDoS) против сайта.[6] Ущерб для Microsoft был минимальным, поскольку целевой сайт был windowsupdate.com, а не windowsupdate.microsoft.com, на который был перенаправлен первый. Корпорация Майкрософт временно закрыла целевой сайт, чтобы минимизировать возможные последствия от червя.[нужна цитата ]

Исполняемый файл червя MSBlast.exe,[8] содержит два сообщения. Первая гласит:

Я просто хочу сказать LOVE YOU SAN !!

Это сообщение дало червю альтернативное имя Lovesan. Второй гласит:

Билли Гейтс, почему вы сделали это возможным? Перестань зарабатывать деньги
и исправь свое программное обеспечение !!

Это сообщение для Билл Гейтс, то соучредитель Microsoft и цель червя.

Червь также создает следующую запись в реестре, чтобы запускаться каждый раз при запуске Windows:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run windows auto update = msblast.exe

График

  • 28 мая 2003 г .: Microsoft выпускает патч, защищающий пользователей от эксплойта в WebDAV, который Велчия использовал. (Welchia использовала тот же эксплойт, что и MSBlast, но у нее был дополнительный метод распространения, который был исправлен в этом патче. Этот метод использовался только после 200 000 атак RPC DCOM - форма, которую использовал MSBlast.)[9][10]
  • 5 июля 2003 г .: отметка времени для патча, выпущенного корпорацией Майкрософт 16 числа.[2]
  • 16 июля 2003 г .: Microsoft выпускает патч, защищающий пользователей от еще неизвестного MSBlast. В то же время они выпустили бюллетень с описанием эксплойта.[2][11]
  • Примерно 16 июля 2003 года: хакеры в белых шляпах создают код, подтверждающий концепцию, подтверждающий уязвимость незащищенных систем. Код не был выпущен.[5]
  • 17 июля 2003 г .: CERT / CC выпускает предупреждение и предлагает заблокировать порт 135.[12]
  • 21 июля 2003 г .: CERT / CC предлагает также заблокировать порты 139 и 445.[12]
  • 25 июля 2003 г .: xFocus публикует информацию о том, как использовать ошибку RPC, которую Microsoft выпустила исправление 16 июля.[13]
  • 1 августа 2003 г .: США выдают предупреждение, чтобы следить за вредоносными программами, использующими ошибку RPC.[5]
  • Примерно до 11 августа 2003 г .: Существуют и другие вирусы, использующие эксплойт RPC.[7]
  • 11 августа 2003 г .: В Интернете появилась оригинальная версия червя.[14]
  • 11 августа 2003 г .: Symantec Antivirus выпускает быстрое обновление защиты.[6]
  • 11 августа 2003 г., вечер: антивирусные компании и службы безопасности выпустили предупреждения о запуске Центра обновления Windows.[14]
  • 12 августа 2003 г. Сообщается о 30 000 зараженных систем.[14]
  • 13 августа 2003 г .: Два новых червя появляются и начинают распространяться. (Sophos, вариант MSBlast и W32 / RpcSpybot-A, совершенно новый червь, использующий тот же эксплойт) [15]
  • 15 августа 2003 г .: Сообщается о 423 000 зараженных систем.[16]
  • 16 августа 2003 г. Начинается DDoS-атака на windowsupdate.com. (В основном неудачно, потому что этот URL-адрес является просто перенаправлением на реальный сайт windowsupdate.microsoft.com.)[14]
  • 18 августа 2003 г .: Microsoft выдает предупреждение относительно MSBlast и его вариантов.[17]
  • 18 августа 2003 г. полезный червь, Велчия, появляется в Интернете.[18]
  • 19 августа 2003 г .: Symantec повысила оценку риска Welchia до «высокого» (категория 4).[19]
  • 25 августа 2003 г .: McAfee понижает оценку риска до «среднего».[20]
  • 27 августа 2003 г .: В одном из вариантов червя обнаружена потенциальная DDoS-атака на HP.[6]
  • 1 января 2004 г .: Welchia удаляет себя.[18]
  • 13 января 2004 г .: Microsoft выпускает автономный инструмент для удаления червя MSBlast и его вариантов.[21]
  • 15 февраля 2004 г .: В Интернете обнаружен вариант родственного червя Welchia.[22]
  • 26 февраля 2004 г .: Symantec понижает оценку риска до «Низкая» (категория 2). (На самом деле это относится к родственному червю Welchia, а не к самому MSBlast.)[18]
  • 12 марта 2004 г .: McAfee понижает оценку риска до «Низкая».[20]
  • 21 апреля 2004 г .: Обнаружен еще один вариант.[20]
  • 28 января 2005 г .: Создатель варианта «Б» MSBlaster приговорен к 18 месяцам тюремного заключения.[23]

Побочные эффекты

Хотя червь может распространяться только на работающие системы Windows 2000 или же Windows XP, это может вызвать нестабильность службы RPC в системах с другими версиями Windows NT, включая Windows Server 2003 и Windows XP Professional x64 Edition. В частности, червь не распространяется в Windows Server 2003, поскольку Windows Server 2003 был скомпилирован с ключом / GS, который обнаружил переполнение буфера и завершил процесс RPCSS.[24] Когда происходит заражение, переполнение буфера вызывает сбой службы RPC, в результате чего Windows отображает следующее сообщение, а затем автоматически перезагружается, обычно через 60 секунд.[25]

Отключение системы:

Эта система отключается. Пожалуйста, сохраните всю незавершенную работу и выйдите из системы. Любые несохраненные изменения будут потеряны. Это выключение было инициировано NT AUTHORITY SYSTEM

Время до выключения: часы: минуты: секунды

Сообщение:

Теперь Windows должна быть перезапущена, поскольку служба удаленного вызова процедур (RPC) неожиданно прервалась.

Это было первым признаком наличия инфекции у многих пользователей; это часто происходило через несколько минут после каждого запуска на скомпрометированных машинах. Простое решение, чтобы остановить обратный отсчет, - запустить команду "shutdown / a",[26] вызывая некоторые побочные эффекты, такие как пустой (без пользователей) экран приветствия.[27] В Велчия червь имел аналогичный эффект. Несколько месяцев спустя Червь сассера всплыло, что вызвало появление аналогичного сообщения.

Смотрите также

Рекомендации

  1. ^ "CERT Advisory CA-2003-20: W32 / Blaster червь". CERT / CC. 2003-08-14. Архивировано из оригинал на 2014-10-17. Получено 2018-11-03.
  2. ^ а б c «MS03-026: переполнение буфера в RPC может привести к выполнению кода». Служба поддержки Microsoft. Корпорация Майкрософт. Получено 2018-11-03.
  3. ^ Маккарти, Джек (2005-01-28). "Автор червя Blaster получает тюремное заключение". InfoWorld. Получено 2018-11-03. 18 месяцев тюремного заключения - это, вероятно, лучшее, на что Джеффри Парсон реально мог надеяться. Власти США продемонстрировали свою решимость бороться с вирусописателями и другими киберпреступниками », - сказал Грэм Клули, старший консультант по технологиям компании Sophos, производящей программное обеспечение для обеспечения безопасности.
  4. ^ Томсон, Иэн (01.09.2003). «ФБР арестовывает« глупого »подозреваемого в Blaster.B». vnunet.com. Архивировано из оригинал на 2008-11-01. Получено 2018-11-03.
  5. ^ а б c "MSBlast W32.Blaster.Worm / LovSan :: инструкции по удалению". able2know.org. 2003-08-12. Получено 2018-11-03.
  6. ^ а б c d "W32.Blaster.Worm". Symantec. 2003-12-09. Получено 2018-11-03.
  7. ^ а б «Жизненный цикл уязвимости» (PDF). Internet Security Systems, Inc. 2005. Архивировано с оригинал (PDF) на 2016-12-24. Получено 2018-11-03.
  8. ^ "Червь: Win32 / Msblast.A". Корпорация Майкрософт. Получено 2018-11-03.
  9. ^ Брансфилд, Джин (18 декабря 2003 г.). "Велчийский червь" (PDF). стр.14, 17. Получено 2018-11-03.
  10. ^ «Переполнение буфера при обработке сообщений ядра Windows может привести к повышенным привилегиям (811493)». Получено 2018-11-03.
  11. ^ «Ошибка в реализации RPC в Microsoft Windows». 2003-07-16. Архивировано из оригинал на 2016-03-04.
  12. ^ а б «Переполнение буфера в Microsoft RPC». 2003-08-08. Архивировано из оригинал в 2014-07-15. Получено 2018-11-03.
  13. ^ «Анализ переполнения буфера LSD в интерфейсе RPC Windows». 2003-07-25. Архивировано из оригинал на 2018-02-17. Получено 2018-11-03.
  14. ^ а б c d Робертс, Пол Ф. (12 августа 2003 г.). «Червь Blaster распространяется, эксперты предупреждают об атаке». Получено 2018-11-03.
  15. ^ Робертс, Пол Ф. (13 августа 2003 г.). "Новый вариант червя Blaster на свободе". InfoWorld. Получено 2018-11-03.
  16. ^ Робертс, Пол Ф. (18 августа 2003 г.). "Бластерный червь атакует бюст". InfoWorld. Получено 2018-11-03.
  17. ^ «Вирусное предупреждение о черве Blaster и его вариантах». Служба поддержки Microsoft. Корпорация Майкрософт. Получено 2018-11-03.
  18. ^ а б c "W32.Welchia.Worm". Symantec. 2017-08-11. Получено 2018-11-03.
  19. ^ Нарайн, Райан (19 августа 2003 г.). "'Дружелюбный "Велчийский червь, сеющий хаос". InternetNews.com. Получено 2018-11-03.
  20. ^ а б c "Профиль вируса: W32 / Lovsan.worm.a". McAfee. 2003-08-11. Получено 2018-11-03.
  21. ^ «Доступен инструмент для удаления заражений червем Blaster и Nachi с компьютеров под управлением Windows 2000 или Windows XP». Служба поддержки Microsoft. Корпорация Майкрософт. Архивировано из оригинал на 2014-08-06. Получено 2018-11-03.
  22. ^ "W32.Welchia.C.Worm". Symantec. 2007-02-13. Получено 2018-11-03.
  23. ^ «Мужчина из Миннесоты приговорен к 18 месяцам тюрьмы за создание и распространение разновидности компьютерного червя MS Blaster». 2005-01-28. Архивировано из оригинал на 2014-07-14. Получено 2018-11-03.
  24. ^ Ховард, Майкл (2004-05-23). «Почему Blaster не заразил Windows Server 2003». Разработчик Microsoft. Корпорация Майкрософт. Получено 2018-11-03.
  25. ^ "Worm_MSBlast.A". TrendMicro.com. Получено 2018-11-03.
  26. ^ «Blaster Worm-Virus или его варианты вызывают выключение компьютера с сообщением об ошибке NT AUTHORITY SYSTEM, касающемся службы удаленного вызова процедур (RPC)». Служба поддержки HP. HP. Архивировано из оригинал на 2014-11-10. Получено 2018-11-03.
  27. ^ "Бластерный червь". Техопедия. Получено 2018-11-03.