Jump to content

Blaster (компьютерный червь)

(Перенаправлено с червя Blaster )
Бластер
Техническое название Как Бластер
  • Worm.Win32.Blaster (Глобальный Хаури)
  • W32/Бластер (Норман)
  • W32/Бластер ( Софос )
  • W32.Blaster.Worm ( Symantec )

Как Ловсан

Как MSBLAST

  • Worm.Win32.Blaster (Глобальный Хаури)
  • Win32/Мбласт (Майкрософт)
  • WORM_MSBLAST ( Тренд Микро )
Win32.Beyond (CA) Blaster (Панда)
Шестнадцатеричный дамп червя Blaster, показывающий сообщение, оставленное Microsoft основателю Биллу Гейтсу. программистом
Псевдоним Ловсан, Ловсан, MSBlast
Тип Червь
Дата изоляции 2004
Источник Миннесота (только вариант B)
Авторы Джеффри Ли Парсон (только вариант B)
Технические детали
Платформа Windows XP и Windows 2000.
Используемые порты Удаленный вызов процедур

Blaster (также известный как Lovsan , Lovesan или MSBlast ) — компьютерный червь , который распространился на компьютерах под управлением операционных систем Windows XP и Windows 2000 в августе 2003 года. [1]

Червь был впервые замечен и начал распространяться 11 августа 2003 г. Скорость его распространения увеличивалась, пока число заражений не достигло пика 13 августа 2003 г. Как только сеть (например, компания или университет) была заражена, она распространялась быстрее. внутри сети, поскольку брандмауэры обычно не запрещают внутренним машинам использовать определенный порт. [2] Фильтрация со стороны интернет-провайдеров и широкая реклама червя сдержали распространение Blaster.

В сентябре 2003 года Джеффри Ли Парсон, 18-летний парень из Хопкинса, штат Миннесота , был обвинен в создании B-варианта червя Blaster; он признал ответственность и был приговорен к 18 месяцам тюремного заключения в январе 2005 года. [3] Автор оригинального варианта А остается неизвестным.

Создание и эффекты

[ редактировать ]

Согласно судебным документам, оригинальный Blaster был создан после того, как исследователи безопасности из китайской группы Xfocus провели реверс-инжиниринг оригинального патча Microsoft, который позволял осуществить атаку. [4]

Червь распространяется, используя переполнение буфера, обнаруженное польской исследовательской группой по безопасности Last Stage of Delirium. [5] в службе DCOM RPC в затронутых операционных системах, для которых месяцем ранее было выпущено исправление в MS03-026. [6] и позже в MS03-039. [7] Это позволило червю распространяться без открытия пользователями вложений, просто рассылая спам на большое количество случайных IP-адресов. В дикой природе были обнаружены четыре версии. [8] Это наиболее известные эксплойты оригинальной уязвимости RPC, но на самом деле существовало еще 12 различных уязвимостей, которые не привлекли такого большого внимания средств массовой информации. [9]

Червь был запрограммирован на запуск SYN-флуда на порту 80 сайта windowsupdate.com, если системная дата приходится на период после 15 августа, до 31 декабря и после 15-го числа других месяцев, тем самым создавая распределенную атаку типа «отказ в обслуживании» (DDoS) против сайт. [8] Ущерб для Microsoft был минимальным, поскольку целевой сайт был windowsupdate.com, а не windowsupdate.microsoft.com, на который был перенаправлен первый. Microsoft временно закрыла целевой сайт, чтобы свести к минимуму потенциальное воздействие червя. [ нужна ссылка ]

Исполняемый файл червя MSBlast.exe. [10] содержит два сообщения. Первое гласит:

Я просто хочу сказать, ЛЮБЛЮ ТЕБЯ, САН!!

Это сообщение дало червю альтернативное имя Lovesan. Второй гласит:

Билли Гейтс, почему вы делаете это возможным? Перестаньте зарабатывать деньги
и исправьте свое программное обеспечение!!

Это послание Биллу Гейтсу , соучредителю Microsoft и цели червя.

Червь также создает следующую запись в реестре , чтобы он запускался при каждом запуске Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ windows auto update=msblast.exe

Хронология

[ редактировать ]
  • 28 мая 2003 г.: Microsoft выпускает патч , который защитит пользователей от эксплойта в WebDAV, который использовал Welchia . (Welchia использовала тот же эксплойт, что и MSBlast, но имела дополнительный метод распространения, который был исправлен в этом патче. Этот метод использовался только после 200 000 атак RPC DCOM — форма, которую использовал MSBlast.) [11] [12]
  • 5 июля 2003 г.: временная метка патча, выпущенного Microsoft 16-го числа. [2]
  • 16 июля 2003 г.: Microsoft выпускает патч, который защитит пользователей от еще неизвестного MSBlast. В то же время они также выпустили бюллетень с описанием эксплойта. [2] [13]
  • Примерно 16 июля 2003 г.: хакеры в белой шляпе создают тестовый код, подтверждающий уязвимость неисправленных систем. Код не был опубликован. [5]
  • 17 июля 2003 г.: CERT/CC выпускает предупреждение и предлагает заблокировать порт 135. [14]
  • 21 июля 2003 г.: CERT/CC предлагает также заблокировать порты 139 и 445. [14]
  • 25 июля 2003 г.: xFocus публикует информацию о том, как использовать ошибку RPC, для исправления которой Microsoft выпустила патч от 16 июля. [15]
  • 1 августа 2003 г.: США выпускают предупреждение о необходимости внимательно следить за вредоносными программами, использующими ошибку RPC. [5]
  • Где-то до 11 августа 2003 г.: существуют и другие вирусы, использующие эксплойт RPC. [9]
  • 11 августа 2003 г.: в Интернете появилась оригинальная версия червя. [16]
  • 11 августа 2003 г.: Symantec Antivirus выпускает быстрое обновление защиты. [8]
  • 11 августа 2003 г., вечер: антивирусные компании и компании по обеспечению безопасности выпустили предупреждения о необходимости запуска Центра обновления Windows. [16]
  • 12 августа 2003 г.: Сообщается, что число зараженных систем достигло 30 000. [16]
  • 13 августа 2003 г.: Появляются и начинают распространяться два новых червя. (Sophos, вариант MSBlast и W32/RpcSpybot-A, совершенно новый червь, использовавший тот же эксплойт) [17]
  • 15 августа 2003 г.: Сообщается, что число зараженных систем составляет 423 000. [18]
  • 16 августа 2003 г.: начинается DDoS-атака на windowsupdate.com. (По большей части безуспешно, поскольку этот URL-адрес представляет собой просто перенаправление на настоящий сайт windowsupdate.microsoft.com.) [16]
  • 18 августа 2003 г.: Microsoft выпускает предупреждение относительно MSBlast и его вариантов. [19]
  • 18 августа 2003 г.: похожий полезный червь . Welchia В Интернете появляется [20]
  • 19 августа 2003 г.: Symantec повышает оценку риска Welchia до «высокого» (категория 4). [21]
  • 25 августа 2003 г.: McAfee снижает оценку риска до «Среднего». [22]
  • 27 августа 2003 г.: В одном из вариантов червя обнаружена потенциальная DDoS-атака на HP. [8]
  • 1 января 2004 г.: Welchia удаляет себя. [20]
  • 13 января 2004 г.: Microsoft выпускает отдельный инструмент для удаления червя MSBlast и его вариантов. [23]
  • 15 февраля 2004 г.: В Интернете обнаружен вариант родственного червя Welchia. [24]
  • 26 февраля 2004 г.: Symantec снижает оценку риска заражения червем Welchia до «низкого» (категория 2). [20]
  • 12 марта 2004 г.: McAfee снижает оценку риска до «Низкая». [22]
  • 21 апреля 2004 г.: обнаружен вариант «В». [22]
  • 28 января 2005 г.: создатель варианта B MSBlaster приговорен к 18 месяцам тюремного заключения. [25]

Побочные эффекты

[ редактировать ]

Хотя червь может распространяться только в системах под управлением Windows 2000 или Windows XP , он может вызывать нестабильность работы службы RPC в системах под управлением других версий Windows NT , включая Windows Server 2003 и Windows XP Professional x64 Edition . В частности, червь не распространяется в Windows Server 2003, поскольку Windows Server 2003 был скомпилирован с ключом /GS, который обнаруживал переполнение буфера и отключал процесс RPCSS. [26] При заражении переполнение буфера приводит к сбою службы RPC, в результате чего Windows отображает следующее сообщение, а затем автоматически перезагружается, обычно через 60 секунд. [27]

Выключение системы:

Эта система отключается. Пожалуйста, сохраните всю незавершенную работу и выйдите из системы. Все несохраненные изменения будут потеряны. Это завершение работы было инициировано NT AUTHORITY\SYSTEM.

Время до выключения: часы:минуты:секунды

Сообщение:

Теперь Windows необходимо перезагрузить, поскольку служба удаленного вызова процедур (RPC) неожиданно завершилась.

Это был первый признак заражения многих пользователей; это часто происходило через несколько минут после каждого запуска на взломанных машинах. Простое решение, чтобы остановить обратный отсчет, — запустить команду «shutdown /a», [28] вызывая некоторые побочные эффекты, такие как пустой (без пользователей) экран приветствия. [29] Червь Welchia имел аналогичный эффект. Несколько месяцев спустя появился червь Sasser , вызвавший появление аналогичного сообщения.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Рекомендация CERT CA-2003-20: червь W32/Blaster» . CERT/CC. 14 августа 2003 г. Архивировано из оригинала 17 октября 2014 г. Проверено 3 ноября 2018 г.
  2. ^ Перейти обратно: а б с «MS03-026: Переполнение буфера в RPC может позволить выполнение кода» . Поддержка Майкрософт . Корпорация Майкрософт . Проверено 3 ноября 2018 г.
  3. ^ «Житель Миннесоты приговорен к 18 месяцам тюремного заключения за создание и распространение варианта компьютерного червя MS Blaster» . Министерство юстиции США . 28 января 2005 г. Проверено 17 февраля 2021 г.
  4. ^ Томсон, Иэн (1 сентября 2003 г.). «ФБР арестовывает «глупого» подозреваемого в Blaster.B» . vnunet.com . Архивировано из оригинала 1 ноября 2008 г. Проверено 3 ноября 2018 г.
  5. ^ Перейти обратно: а б с "MSBlast W32.Blaster.Worm/LovSan::инструкция по удалению" . able2know.org. 12 августа 2003 г. Проверено 3 ноября 2018 г.
  6. ^ «Бюллетень по безопасности Microsoft MS03-026 — критично» . Learn.microsoft.com . 1 марта 2023 г.
  7. ^ «Бюллетень по безопасности Microsoft MS03-039 — критично» . Learn.microsoft.com . 1 марта 2023 г.
  8. ^ Перейти обратно: а б с д «W32.Бластер.Червь» . Симантек. 09.12.2003. Архивировано из оригинала 17 мая 2018 года . Проверено 3 ноября 2018 г.
  9. ^ Перейти обратно: а б «Жизненный цикл уязвимости» (PDF) . Internet Security Systems, Inc., 2005 г. Архивировано из оригинала (PDF) 24 декабря 2016 г. Проверено 3 ноября 2018 г.
  10. ^ «Червь:Win32/Msblast.A» . Корпорация Майкрософт . Проверено 3 ноября 2018 г.
  11. ^ Брансфилд, Джин (18 декабря 2003 г.). «Червь Welchia» (PDF) . стр. 14, 17 . Проверено 3 ноября 2018 г.
  12. ^ «Переполнение буфера при обработке сообщений ядра Windows может привести к повышению привилегий (811493)» . Проверено 3 ноября 2018 г.
  13. ^ «Недостаток в реализации RPC в Microsoft Windows» . 16 июля 2003 г. Архивировано из оригинала 4 марта 2016 г.
  14. ^ Перейти обратно: а б «Переполнение буфера в Microsoft RPC» . 8 августа 2003 г. Архивировано из оригинала 15 июля 2014 г. Проверено 3 ноября 2018 г.
  15. ^ «Анализ переполнения буфера LSD в интерфейсе Windows RPC» . 25 июля 2003 г. Архивировано из оригинала 17 февраля 2018 г. Проверено 3 ноября 2018 г.
  16. ^ Перейти обратно: а б с д Робертс, Пол Ф. (12 августа 2003 г.). «Распространяется червь-бластер, эксперты предупреждают об атаке» . Инфомир . Проверено 3 ноября 2018 г.
  17. ^ Робертс, Пол Ф. (13 августа 2003 г.). «Новый вариант червя Blaster в продаже» . Инфомир . Проверено 3 ноября 2018 г.
  18. ^ Робертс, Пол Ф. (18 августа 2003 г.). «Бластерный червь атакует бюста» . Инфомир . Проверено 3 ноября 2018 г.
  19. ^ «Вирусное предупреждение о черве Blaster и его вариантах» . Поддержка Майкрософт . Корпорация Майкрософт . Проверено 3 ноября 2018 г.
  20. ^ Перейти обратно: а б с «W32.Велчия.Червь» . Симантек. 11 августа 2017 г. Архивировано из оригинала 3 сентября 2018 года . Проверено 3 ноября 2018 г.
  21. ^ Нарейн, Райан (19 августа 2003 г.). « Дружелюбный червь Welchia сеет хаос» . ИнтернетНьюс.com . Проверено 3 ноября 2018 г.
  22. ^ Перейти обратно: а б с «Профиль вируса: W32/Lovsan.worm.a» . Макафи . 11 августа 2003 г. Проверено 3 ноября 2018 г.
  23. ^ «Доступен инструмент для удаления червей Blaster и червей Nachi с компьютеров под управлением Windows 2000 или Windows XP» . Поддержка Майкрософт . Корпорация Майкрософт. Архивировано из оригинала 06 августа 2014 г. Проверено 3 ноября 2018 г.
  24. ^ "W32.Welchia.C.Worm" . Симантек. 13 февраля 2007 г. Архивировано из оригинала 3 ноября 2018 года . Проверено 3 ноября 2018 г.
  25. ^ «Житель Миннесоты приговорен к 18 месяцам тюремного заключения за создание и распространение варианта компьютерного червя MS Blaster» . 28 января 2005 г. Архивировано из оригинала 14 июля 2014 г. Проверено 3 ноября 2018 г.
  26. ^ Ховард, Майкл (23 мая 2004 г.). «Почему Blaster не заразил Windows Server 2003» . Разработчик Microsoft . Корпорация Майкрософт . Проверено 3 ноября 2018 г.
  27. ^ "Червь_MSBlast.A" . TrendMicro.com . Проверено 3 ноября 2018 г.
  28. ^ «Вирус Blaster Worm или его варианты вызывают завершение работы компьютера с сообщением об ошибке NT AUTHORITY\SYSTEM, касающимся службы удаленного вызова процедур (RPC)» . Служба поддержки клиентов HP . ХП . Архивировано из оригинала 10 ноября 2014 г. Проверено 3 ноября 2018 г.
  29. ^ «Бластерный червь» . Техопедия . Проверено 3 ноября 2018 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Blaster_(computer_worm)&oldid=1227674934"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 8811c05b6d9b97fab1ea6561795b65a0__1717727400
URL1:https://arc.ask3.ru/arc/aa/88/a0/8811c05b6d9b97fab1ea6561795b65a0.html
Заголовок, (Title) документа по адресу, URL1:
Blaster (computer worm) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)