Blaster (компьютерный червь)

2003 Windows компьютерный червь

Blaster (также известный как Lovsan , Lovesan или MSBlast ) — компьютерный червь , который распространился на компьютерах под управлением операционных систем Windows XP и Windows 2000 в августе 2003 года. ^[1]

Червь был впервые замечен и начал распространяться 11 августа 2003 года. Скорость его распространения увеличивалась, пока число заражений не достигло пика 13 августа 2003 года. После заражения сети (например, компании или университета) он распространялся внутри сети быстрее, поскольку брандмауэры обычно не мешали внутренним машинам использовать определенный порт. ^[2] Фильтрация со стороны интернет-провайдеров и широкая огласка червя сдержали распространение Blaster.

В сентябре 2003 года Джеффри Ли Парсон, 18-летний житель Хопкинса, штат Миннесота , был обвинён в создании варианта B вируса Blaster; он признал свою ответственность и в январе 2005 года был приговорён к 18 месяцам тюремного заключения ^{. [3]} Автор оригинального варианта A остаётся неизвестным.

Создание и эффекты

Согласно судебным документам, оригинальный Blaster был создан после того, как исследователи безопасности из китайской группы Xfocus провели обратную разработку оригинального патча Microsoft, который позволял выполнить атаку. ^[4]

Червь распространяется, используя переполнение буфера, обнаруженное польской исследовательской группой по безопасности Last Stage of Delirium ^[5] в службе DCOM RPC на уязвимых операционных системах, для которой был выпущен патч месяцем ранее в MS03-026 ^[6] и позже в MS03-039. ^[7] Это позволило червю распространяться без открытия вложений пользователями, просто рассылая спам на большое количество случайных IP-адресов. В дикой природе было обнаружено четыре версии. ^[8] Это наиболее известные эксплойты исходной уязвимости в RPC, но на самом деле было еще 12 различных уязвимостей, которые не привлекли столько внимания СМИ. ^[9]

Червь был запрограммирован на запуск SYN-флуда на порт 80 windowsupdate.com , если системная дата после 15 августа и до 31 декабря и после 15-го числа других месяцев, тем самым создавая распределенную атаку типа «отказ в обслуживании» (DDoS) против сайта. ^[8] Ущерб для Microsoft был минимальным, поскольку целевым сайтом был windowsupdate.com, а не windowsupdate.microsoft.com, на который был перенаправлен первый. Microsoft временно закрыла целевой сайт, чтобы минимизировать потенциальные последствия от червя. ^{[ необходима цитата ]}

Исполняемый файл червя, MSBlast.exe, ^[10] содержит два сообщения. Первое гласит:

Я просто хочу сказать ЛЮБЛЮ ТЕБЯ, САН!!

Это сообщение дало червю альтернативное имя Lovesan. Второе сообщение гласит:

Билли Гейтс, почему ты делаешь это возможным? Перестань зарабатывать деньги
и исправь свое программное обеспечение!!

Это сообщение Биллу Гейтсу , соучредителю Microsoft и цели червя.

Червь также создает следующую запись в реестре , чтобы запускаться каждый раз при запуске Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ автообновление windows=msblast.exe

Хронология

• 28 мая 2003 г.: Microsoft выпускает патч , который должен был защитить пользователей от эксплойта в WebDAV, который использовала Welchia . (Welchia использовала тот же эксплойт, что и MSBlast, но имела дополнительный метод распространения, который был исправлен в этом патче. Этот метод использовался только после 200 000 атак RPC DCOM — формы, которую использовал MSBlast.) ^{[11] [12]}
• 5 июля 2003 г.: временная метка для исправления, которое Microsoft выпускает 16-го числа. ^[2]
• 16 июля 2003 г.: Microsoft выпускает патч, который должен защитить пользователей от пока неизвестного MSBlast. В то же время они также выпустили бюллетень, описывающий эксплойт. ^{[2] [13]}
• Около 16 июля 2003 года: хакеры White Hat создают код подтверждения концепции, подтверждающий, что неисправленные системы уязвимы. Код не был опубликован. ^[5]
• 17 июля 2003 г.: CERT/CC выпускает предупреждение и предлагает заблокировать порт 135. ^[14]
• 21 июля 2003 г.: CERT/CC предлагает также заблокировать порты 139 и 445. ^[14]
• 25 июля 2003 г.: xFocus публикует информацию о том, как использовать ошибку RPC, для исправления которой Microsoft выпустила патч от 16 июля. ^[15]
• 1 августа 2003 г.: США выпускают предупреждение о вредоносном ПО, эксплуатирующем ошибку RPC. ^[5]
• Незадолго до 11 августа 2003 г.: существуют и другие вирусы, использующие уязвимость RPC. ^[9]
• 11 августа 2003 г.: Оригинальная версия червя появляется в Интернете. ^[16]
• 11 августа 2003 г.: Symantec Antivirus выпускает быстрое обновление защиты. ^[8]
• 11 августа 2003 года, вечер: Антивирусные и охранные компании выпустили предупреждения о необходимости запустить Центр обновления Windows. ^[16]
• 12 августа 2003 г.: Сообщается о 30 000 зараженных систем. ^[16]
• 13 августа 2003 г.: Появляются и начинают распространяться два новых червя. (Sophos, вариант MSBlast и W32/RpcSpybot-A, совершенно новый червь, использующий тот же эксплойт) ^[17]
• 15 августа 2003 г.: количество зараженных систем составляет 423 000. ^[18]
• 16 августа 2003 г.: начинается DDoS-атака на windowsupdate.com. (В основном безуспешная, поскольку этот URL-адрес — всего лишь перенаправление на настоящий сайт, windowsupdate.microsoft.com.) ^[16]
• 18 августа 2003 г.: Microsoft выпускает предупреждение относительно MSBlast и его модификаций. ^[19]
• 18 августа 2003 г.: В Интернете появляется связанный с ним полезный червь Welchia . ^[20]
• 19 августа 2003 г.: Symantec повышает оценку риска Welchia до «высокого» (категория 4). ^[21]
• 25 августа 2003 г.: McAfee снижает оценку риска до «среднего». ^[22]
• 27 августа 2003 г.: В одном из вариантов червя обнаружена потенциальная DDoS-атака против HP. ^[8]
• 1 января 2004 г.: Welchia удаляет себя. ^[20]
• 13 января 2004 г.: Microsoft выпускает автономный инструмент для удаления червя MSBlast и его модификаций. ^[23]
• 15 февраля 2004 г.: В Интернете обнаружен вариант родственного червя Welchia. ^[24]
• 26 февраля 2004 г.: Symantec снижает оценку риска червя Welchia до «низкого» (категория 2). ^[20]
• 12 марта 2004 г.: McAfee снижает оценку риска до «низкого». ^[22]
• 21 апреля 2004 г.: Обнаружен вариант «B». ^[22]
• 28 января 2005 г.: Создатель варианта B MSBlaster приговорен к 18 месяцам тюремного заключения. ^[25]

Побочные эффекты

Хотя червь может распространяться только на системах под управлением Windows 2000 или Windows XP , он может вызвать нестабильность в службе RPC на системах под управлением других версий Windows NT , включая Windows Server 2003 и Windows XP Professional x64 Edition . В частности, червь не распространяется в Windows Server 2003, поскольку Windows Server 2003 был скомпилирован с ключом /GS, который обнаружил переполнение буфера и остановил процесс RPCSS. ^[26]

При заражении переполнение буфера приводит к сбою службы RPC, в результате чего Windows отображает следующее сообщение, а затем автоматически перезагружается, обычно через 60 секунд. ^[27]

Выключение системы:

Эта система выключается. Пожалуйста, сохраните всю текущую работу и выйдите из системы. Все несохраненные изменения будут утеряны. Это выключение было инициировано NT AUTHORITY\SYSTEM

Время до выключения: часы:минуты:секунды

Сообщение:

Теперь Windows необходимо перезапустить, поскольку служба удаленного вызова процедур (RPC) неожиданно завершила работу.

Это был первый признак того, что у многих пользователей было заражение; это часто происходило через несколько минут после каждого запуска на скомпрометированных машинах. Простое решение для остановки обратного отсчета — запустить команду «shutdown /a», ^[28] вызывая некоторые побочные эффекты, такие как пустой (без пользователей) экран приветствия. ^[29] Червь Welchia имел похожий эффект. Месяцы спустя появился червь Sasser , который вызвал появление похожего сообщения.

Смотрите также

• Конфикер
• Хронология компьютерных вирусов и червей
• Список осужденных компьютерных преступников
• Zeus (вредоносное ПО)

Ссылки

1. "CERT Advisory CA-2003-20: W32/Blaster worm". CERT/CC. 2003-08-14. Архивировано из оригинала 2014-10-17 . Получено 2018-11-03 .
2. "MS03-026: Переполнение буфера в RPC может допустить выполнение кода". Поддержка Microsoft . Корпорация Microsoft . Получено 2018-11-03 .
3. "Житель Миннесоты приговорен к 18 месяцам тюрьмы за создание и распространение варианта компьютерного червя MS Blaster". Министерство юстиции США . 2005-01-28 . Получено 2021-02-17 .
4. Томсон, Иэн (01.09.2003). "ФБР арестовывает „тупого“ подозреваемого Blaster.B". vnunet.com . Архивировано из оригинала 01.11.2008 . Получено 03.11.2018 .
5. "MSBlast W32.Blaster.Worm / LovSan :: инструкции по удалению". able2know.org. 2003-08-12 . Получено 2018-11-03 .
6. «Бюллетень по безопасности Microsoft MS03-026 — Критический». learn.microsoft.com . 1 марта 2023 г.
7. «Бюллетень по безопасности Microsoft MS03-039 — Критический». learn.microsoft.com . 1 марта 2023 г.
8. "W32.Blaster.Worm". Symantec. 2003-12-09. Архивировано из оригинала 17 мая 2018 года . Получено 2018-11-03 .
9. "Жизненный цикл уязвимости" (PDF) . internet Security Systems, Inc. 2005. Архивировано из оригинала (PDF) 2016-12-24 . Получено 2018-11-03 .
10. "Worm:Win32/Msblast.A". Корпорация Microsoft . Получено 2018-11-03 .
11. Bransfield, Gene (2003-12-18). "The Welchia Worm" (PDF) . стр. 14, 17. Получено 2018-11-03 .
12. «Переполнение буфера при обработке сообщений ядра Windows может привести к повышению привилегий (811493)» . Получено 2018-11-03 .
13. "Недостаток в реализации RPC в Microsoft Windows". 2003-07-16. Архивировано из оригинала 2016-03-04.
14. "Buffer Overflow in Microsoft RPC". 2003-08-08. Архивировано из оригинала 2014-07-15 . Получено 2018-11-03 .
15. "Анализ переполнения буфера LSD в интерфейсе Windows RPC". 2003-07-25. Архивировано из оригинала 2018-02-17 . Получено 2018-11-03 .
16. Робертс, Пол Ф. (2003-08-12). «Распространение червя Blaster, эксперты предупреждают об атаке». InfoWorld . Получено 2018-11-03 .
17. Робертс, Пол Ф. (2003-08-13). "Новый вариант червя Blaster на свободе". InfoWorld . Получено 2018-11-03 .
18. Робертс, Пол Ф. (2003-08-18). "Червь-бластер атакует бюст". InfoWorld . Получено 2018-11-03 .
19. "Вирусное предупреждение о черве Blaster и его разновидностях". Поддержка Microsoft . Корпорация Microsoft . Получено 2018-11-03 .
20. "W32.Welchia.Worm". Symantec. 2017-08-11. Архивировано из оригинала 3 сентября 2018 года . Получено 2018-11-03 .
21. Нарейн, Райан (2003-08-19). «Дружелюбный червь Welchia сеет хаос». InternetNews.com . Получено 2018-11-03 .
22. "Профиль вируса: W32/Lovsan.worm.a". McAfee . 2003-08-11 . Получено 2018-11-03 .
23. "Доступен инструмент для удаления заражений червями Blaster и Nachi с компьютеров под управлением Windows 2000 или Windows XP". Служба поддержки Microsoft . Корпорация Microsoft. Архивировано из оригинала 2014-08-06 . Получено 2018-11-03 .
24. "W32.Welchia.C.Worm". Symantec. 2007-02-13. Архивировано из оригинала 3 ноября 2018 г. Получено 2018-11-03 .
25. "Житель Миннесоты приговорен к 18 месяцам тюрьмы за создание и распространение варианта компьютерного червя MS Blaster". 28.01.2005. Архивировано из оригинала 14.07.2014 . Получено 03.11.2018 .
26. Ховард, Майкл (2004-05-23). ​​«Почему Blaster не заразил Windows Server 2003». Microsoft Developer . Microsoft Corporation . Получено 2018-11-03 .
27. "Worm_MSBlast.A". TrendMicro.com . Получено 2018-11-03 .
28. "Вирус-червь Blaster или его разновидности приводят к завершению работы компьютера с сообщением об ошибке NT AUTHORITY\SYSTEM, касающимся службы удаленного вызова процедур (RPC)". HP Consumer Support . HP . Архивировано из оригинала 2014-11-10 . Получено 2018-11-03 .
29. "Blaster Worm". Techopedia . Получено 2018-11-03 .