Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Бластер
Virus Blaster.jpg
Шестнадцатеричный дамп червя Blaster, показывающий сообщение, оставленное программистом основателю Microsoft Биллу Гейтсу .
Техническое названиеКак Бластер
  • Червь.Win32.Blaster (Global Hauri)
  • W32 / Blaster (Норман)
  • W32 / Blaster ( Sophos )
  • W32.Blaster.Worm ( Symantec )

Ас Ловсан

Как MSBLAST

  • Червь.Win32.Blaster (Global Hauri)
  • Win32 / Msblast (Microsoft)
  • WORM_MSBLAST ( Trend Micro )
  • WORM_MSBLAST. [Письмо] (Trendmicro)
Win32.Poza (CA) Blaster (Panda)
ПсевдонимыЛовсан, Ловесан, MSBlast
ТипЧервь
Изоляция2004 г.
Начало координатМиннесота (только вариант B)
Авторы)Джеффри Ли Парсон (только вариант B)
Используемые портыУдаленный вызов процедур
Затронутые операционные системыWindows XP и Windows 2000

Blaster (также известный как Lovsan , Lovesan или MSBlast ) был компьютерный червем , который выкладывает на компьютерах , работающих под управлением операционных системы Windows XP и Windows , 2000 в августе 2003 года [1]

Червь был впервые замечен и начал распространяться 11 августа 2003 г. Скорость его распространения увеличивалась, пока число заражений не достигло пика 13 августа 2003 г. После заражения сети (например, компании или университета) он распространялся быстрее. внутри сети, поскольку брандмауэры обычно не препятствуют внутренним машинам использовать определенный порт. [2] Фильтрация интернет-провайдерами и широкая огласка червя сдерживали распространение Blaster.

В сентябре 2003 года Джеффри Ли Парсон, 18-летний парень из Хопкинса, штат Миннесота , был обвинен в создании варианта B червя Blaster; он признал ответственность и был приговорен к 18 месяцам тюремного заключения в январе 2005 года. [3] Автор оригинального варианта А остается неизвестным.

Создание и эффекты [ править ]

Согласно судебным документам, оригинальный Blaster был создан после того, как исследователи безопасности из китайской группы Xfocus реконструировали оригинальный патч Microsoft, который позволил провести атаку. [4]

Червь распространяется за счет использования переполнения буфера, обнаруженного польской исследовательской группой Last Stage of Delirium [5] в службе DCOM RPC в затронутых операционных системах, для которых за месяц до этого был выпущен патч в MS03-026, а затем в MS03-039 . Это позволяло червю распространяться без открытия вложений пользователями, просто рассылая спам на большое количество случайных IP-адресов. Четыре версии были обнаружены в дикой природе. [6] Это наиболее известные эксплойты исходной уязвимости в RPC, но на самом деле было еще 12 различных уязвимостей, которые не привлекли столько внимания средств массовой информации. [7]

Червь был запрограммирован на запуск SYN-потока на 80-й порт windowsupdate.com, если системная дата наступает после 15 августа, до 31 декабря и после 15-го дня других месяцев, тем самым создавая распределенную атаку отказа в обслуживании (DDoS) против сайт. [6] Ущерб для Microsoft был минимальным, поскольку целевой сайт был windowsupdate.com, а не windowsupdate.microsoft.com, на который был перенаправлен первый. Корпорация Майкрософт временно закрыла целевой сайт, чтобы минимизировать потенциальные эффекты от червя. [ необходима цитата ]

Исполняемый файл червя MSBlast.exe [8] содержит два сообщения. Первый гласит:

Я просто хочу сказать LOVE YOU SAN !!

Это сообщение дало червю альтернативное имя Lovesan. Вторая гласит:

Билли Гейтс, почему вы сделали это возможным? Прекратите зарабатывать деньги
и исправьте программное обеспечение !!

Это сообщение Биллу Гейтсу , соучредителю Microsoft и цели червя.

Червь также создает следующую запись в реестре, чтобы он запускался каждый раз при запуске Windows:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ windows auto update = msblast.exe

Хронология [ править ]

  • 28 мая 2003: Microsoft выпускает патч, который защитит пользователей от эксплойта в WebDAV, который использовал Welchia . (Welchia использовала тот же эксплойт, что и MSBlast, но у нее был дополнительный метод распространения, который был исправлен в этом патче. Этот метод использовался только после 200 000 атак RPC DCOM - форма, которую использовал MSBlast.) [9] [10]
  • 5 июля 2003 г .: отметка времени для патча, выпущенного корпорацией Майкрософт 16 числа. [2]
  • 16 июля 2003 г .: Microsoft выпускает патч, защищающий пользователей от еще неизвестного MSBlast. В то же время они выпустили бюллетень с описанием эксплойта. [2] [11]
  • Примерно 16 июля 2003 г .: хакеры в белых шляпах создают код, подтверждающий концепцию, подтверждающий уязвимость незащищенных систем. Код не был выпущен. [5]
  • 17 июля 2003 г .: CERT / CC выпускает предупреждение и предлагает заблокировать порт 135. [12]
  • 21 июля 2003 г .: CERT / CC предлагает также заблокировать порты 139 и 445. [12]
  • 25 июля 2003 г .: xFocus выпускает информацию о том, как использовать ошибку RPC, которую Microsoft выпустила исправление 16 июля. [13]
  • 1 августа 2003 г .: США выдают предупреждение, чтобы не пропустить вредоносное ПО, использующее ошибку RPC. [5]
  • Где-то до 11 августа 2003 г .: Существуют и другие вирусы, использующие эксплойт RPC. [7]
  • 11 августа 2003 г .: В Интернете появилась оригинальная версия червя. [14]
  • 11 августа 2003 г .: Symantec Antivirus выпускает быстрое обновление защиты. [6]
  • 11 августа 2003 г., вечер: антивирусные компании и службы безопасности выпустили предупреждения о запуске Центра обновления Windows. [14]
  • 12 августа 2003 г. Сообщается о 30 000 зараженных систем. [14]
  • 13 августа 2003 г .: Появляются и начинают распространяться два новых червя. (Sophos, вариант MSBlast и W32 / RpcSpybot-A, совершенно новый червь, использующий тот же эксплойт) [15]
  • 15 августа 2003 г. Сообщается о 423 000 зараженных систем. [16]
  • 16 августа 2003 г. Начинается DDoS-атака на windowsupdate.com. (В основном неудачно, потому что этот URL-адрес является просто перенаправлением на реальный сайт windowsupdate.microsoft.com.) [14]
  • 18 августа 2003 г .: Microsoft выдает предупреждение относительно MSBlast и его вариантов. [17]
  • 18 августа 2003: Родственный полезным червь , Welchia , в интернете появляется. [18]
  • 19 августа 2003 г .: Symantec повысила оценку риска Welchia до «высокого» (категория 4). [19]
  • 25 августа 2003 г .: McAfee понижает оценку риска до «среднего». [20]
  • 27 августа 2003 г. В одном из вариантов червя обнаружена потенциальная DDoS-атака на HP. [6]
  • 1 января 2004 г .: Welchia удаляет себя. [18]
  • 13 января 2004 г .: Microsoft выпускает автономный инструмент для удаления червя MSBlast и его вариантов. [21]
  • 15 февраля 2004 г .: В Интернете обнаружен вариант родственного червя Welchia. [22]
  • 26 февраля 2004 г .: Symantec понижает оценку риска заражения червем Welchia до «Низкий» (категория 2). [18]
  • 12 марта 2004 г .: McAfee понижает оценку риска до «Низкая». [20]
  • 21 апреля 2004 г .: Обнаружен еще один вариант. [20]
  • 28 января 2005 г .: Создатель варианта «Б» MSBlaster приговорен к 18 месяцам лишения свободы. [23]

Побочные эффекты [ править ]

Хотя червь может распространяться только в системах под управлением Windows 2000 или Windows XP , он может вызвать нестабильность службы RPC в системах под управлением других версий Windows NT , включая Windows Server 2003 и Windows XP Professional x64 Edition . В частности, червь не распространяется в Windows Server 2003, поскольку Windows Server 2003 был скомпилирован с ключом / GS, который обнаружил переполнение буфера и завершил процесс RPCSS. [24] Когда происходит заражение, переполнение буфера вызывает сбой службы RPC, в результате чего Windows отображает следующее сообщение и затем автоматически перезагружается, обычно через 60 секунд. [25]

Отключение системы:

Эта система отключается. Пожалуйста, сохраните всю незавершенную работу и выйдите из системы. Любые несохраненные изменения будут потеряны. Это выключение было инициировано NT AUTHORITY \ SYSTEM

Время до выключения: часы: минуты: секунды

Сообщение:

Windows должна быть перезапущена, поскольку служба удаленного вызова процедур (RPC) неожиданно прервалась.

Это было первым признаком наличия инфекции у многих пользователей; это часто происходило через несколько минут после каждого запуска на скомпрометированных машинах. Простое решение, чтобы остановить обратный отсчет, - запустить команду «shutdown / a», [26] вызывающая некоторые побочные эффекты, такие как пустой (без пользователей) экран приветствия. [27] Welchia червь был подобный эффект. Спустя несколько месяцев появился червь Sasser , который вызвал появление аналогичного сообщения.

См. Также [ править ]

  • Ботнет
  • BlueKeep (уязвимость в системе безопасности)
  • Конфикер
  • Gameover ZeuS
  • Полезный червь
  • Операция Товар
  • Начия (компьютерный червь)
  • Сассер (компьютерный червь)
  • Спам
  • Хронология компьютерных вирусов и червей
  • Tiny Banker троян
  • Торпиг
  • Список осужденных компьютерных преступников
  • Зевс (вредоносное ПО)
  • Зомби (информатика)

Ссылки [ править ]

  1. ^ "CERT Advisory CA-2003-20: W32 / Blaster worm" . CERT / CC. 2003-08-14. Архивировано из оригинала на 2014-10-17 . Проверено 3 ноября 2018 .
  2. ^ a b c «MS03-026: переполнение буфера в RPC может привести к выполнению кода» . Служба поддержки Microsoft . Корпорация Microsoft . Проверено 3 ноября 2018 .
  3. ^ «Человек Миннесоты приговорен к 18 месяцам тюрьмы за создание и распространение варианта компьютерного червя MS Blaster» . Министерство юстиции США . 2005-01-28 . Проверено 17 февраля 2021 .
  4. ^ Томсон, Иэн (2003-09-01). «ФБР арестовывает« глупого »подозреваемого в Blaster.B» . vnunet.com . Архивировано из оригинала на 2008-11-01 . Проверено 3 ноября 2018 .
  5. ^ a b c "MSBlast W32.Blaster.Worm / LovSan :: инструкции по удалению" . able2know.org. 2003-08-12 . Проверено 3 ноября 2018 .
  6. ^ a b c d "W32.Blaster.Worm" . Symantec. 2003-12-09 . Проверено 3 ноября 2018 .
  7. ^ a b «Жизненный цикл уязвимости» (PDF) . internet Security Systems, Inc. 2005. Архивировано из оригинального (PDF) 24 декабря 2016 года . Проверено 3 ноября 2018 .
  8. ^ "Червь: Win32 / Msblast.A" . Корпорация Microsoft . Проверено 3 ноября 2018 .
  9. Перейти ↑ Bransfield, Gene (2003-12-18). "Велчийский червь" (PDF) . С. 14, 17 . Проверено 3 ноября 2018 .
  10. ^ «Переполнение буфера при обработке сообщений ядра Windows может привести к повышенным привилегиям (811493)» . Проверено 3 ноября 2018 .
  11. ^ «Ошибка в реализации RPC в Microsoft Windows» . 2003-07-16. Архивировано из оригинала на 2016-03-04.
  12. ^ a b «Переполнение буфера в Microsoft RPC» . 2003-08-08. Архивировано из оригинала на 2014-07-15 . Проверено 3 ноября 2018 .
  13. ^ «Анализ переполнения буфера LSD в интерфейсе RPC Windows» . 2003-07-25. Архивировано из оригинала на 2018-02-17 . Проверено 3 ноября 2018 .
  14. ^ a b c d Робертс, Пол Ф. (12 августа 2003 г.). «Бластерный червь распространяется, специалисты предупреждают об атаке» . Проверено 3 ноября 2018 .
  15. Робертс, Пол Ф. (13.08.2003). «Новый вариант червя Blaster на свободе» . InfoWorld . Проверено 3 ноября 2018 .
  16. Робертс, Пол Ф. (18 августа 2003 г.). «Бластерный червь атакует бюст» . InfoWorld . Проверено 3 ноября 2018 .
  17. ^ "Вирусное предупреждение о черве Blaster и его вариантах" . Служба поддержки Microsoft . Корпорация Microsoft . Проверено 3 ноября 2018 .
  18. ^ a b c "W32.Welchia.Worm" . Symantec. 2017-08-11 . Проверено 3 ноября 2018 .
  19. ^ Naraine, Райан (2003-08-19). « Дружественный“Welchia Worm мстили» . InternetNews.com . Проверено 3 ноября 2018 .
  20. ^ a b c "Профиль вируса: W32 / Lovsan.worm.a" . McAfee . 2003-08-11 . Проверено 3 ноября 2018 .
  21. ^ «Доступен инструмент для удаления заражений червем Blaster и Nachi с компьютеров под управлением Windows 2000 или Windows XP» . Служба поддержки Microsoft . Корпорация Майкрософт. Архивировано из оригинала на 2014-08-06 . Проверено 3 ноября 2018 .
  22. ^ "W32.Welchia.C.Worm" . Symantec. 2007-02-13 . Проверено 3 ноября 2018 .
  23. ^ «Человек Миннесоты приговорен к 18 месяцам тюрьмы за создание и распространение варианта компьютерного червя MS Blaster» . 2005-01-28. Архивировано из оригинала на 2014-07-14 . Проверено 3 ноября 2018 .
  24. ^ Ховард, Майкл (2004-05-23). «Почему Blaster не заразил Windows Server 2003» . Разработчик Microsoft . Корпорация Microsoft . Проверено 3 ноября 2018 .
  25. ^ "Worm_MSBlast.A" . TrendMicro.com . Проверено 3 ноября 2018 .
  26. ^ «Blaster Worm-Virus или его варианты вызывают выключение компьютера с сообщением об ошибке NT AUTHORITY \ SYSTEM, касающемся службы удаленного вызова процедур (RPC)» . Поддержка клиентов HP . HP . Архивировано из оригинала на 2014-11-10 . Проверено 3 ноября 2018 .
  27. ^ "Blaster Worm" . Техопедия . Проверено 3 ноября 2018 .