Blaster (компьютерный червь)

Компьютерный червь 2003 года для Windows

Blaster (также известный как Lovsan , Lovesan или MSBlast ) — компьютерный червь , который распространился на компьютерах под управлением операционных систем Windows XP и Windows 2000 в августе 2003 года. ^[1]

Червь был впервые замечен и начал распространяться 11 августа 2003 г. Скорость его распространения увеличивалась, пока число заражений не достигло пика 13 августа 2003 г. Как только сеть (например, компания или университет) была заражена, она распространялась быстрее. внутри сети, поскольку брандмауэры обычно не запрещают внутренним машинам использовать определенный порт. ^[2] Фильтрация со стороны интернет-провайдеров и широкая реклама о черве сдержали распространение Blaster.

В сентябре 2003 года Джеффри Ли Парсону, 18-летнему парню из Хопкинса, штат Миннесота , было предъявлено обвинение в создании B-варианта червя Blaster; он признал ответственность и был приговорен к 18 месяцам тюремного заключения в январе 2005 года. ^[3] Автор оригинального варианта А остается неизвестным.

Создание и эффекты

Согласно судебным документам, оригинальный Blaster был создан после того, как исследователи безопасности из китайской группы Xfocus провели реверс-инжиниринг оригинального патча Microsoft, который позволял осуществить атаку. ^[4]

Червь распространяется, используя переполнение буфера , обнаруженное польской исследовательской группой по безопасности Last Stage of Delirium ^[5] в сервисе DCOM RPC в затронутых операционных системах, для которого месяцем ранее был выпущен патч в MS03-026 ^[6]. и позже в MS03-039. ^[7] Это позволило червю распространяться без открытия пользователями вложений, просто рассылая спам на большое количество случайных IP-адресов. В дикой природе были обнаружены четыре версии. ^[8] Это наиболее известные эксплойты исходной уязвимости в RPC, но на самом деле существовало еще 12 различных уязвимостей, которые не привлекли такого большого внимания средств массовой информации. ^[9]

Червь был запрограммирован на запуск SYN-флуда на порту 80 сайта windowsupdate.com , если системная дата приходится на период после 15 августа, до 31 декабря и после 15-го числа других месяцев, тем самым создавая распределенную атаку типа «отказ в обслуживании» (DDoS) против сайт. ^[8] Ущерб для Microsoft был минимальным, поскольку целевой сайт был windowsupdate.com, а не windowsupdate.microsoft.com, на который первый был перенаправлен. Microsoft временно закрыла целевой сайт, чтобы минимизировать потенциальные последствия от червя. ^{[ нужна цитата ]}

Исполняемый файл червя MSBlast.exe ^[10] содержит два сообщения. Первое гласит:

Я просто хочу сказать, ЛЮБЛЮ ТЕБЯ, САН!!

Это сообщение дало червю альтернативное имя Lovesan. Второй гласит:

Билли Гейтс, почему вы делаете это возможным? Перестаньте зарабатывать деньги
и исправьте свое программное обеспечение!

Это послание Биллу Гейтсу , соучредителю Microsoft и цели червя.

Червь также создает следующую запись в реестре , чтобы он запускался при каждом запуске Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ windows auto update=msblast.exe

График

• 28 мая 2003 г.: Microsoft выпускает патч , который защитит пользователей от эксплойта в WebDAV, который использовал Welchia . (Welchia использовала тот же эксплойт, что и MSBlast, но имела дополнительный метод распространения, который был исправлен в этом патче. Этот метод использовался только после 200 000 атак RPC DCOM - форма, которую использовал MSBlast.) ^{[11] [12]}
• 5 июля 2003 г.: временная метка патча, выпущенного Microsoft 16-го числа. ^[2]
• 16 июля 2003 г.: Microsoft выпускает патч, который защитит пользователей от еще неизвестного MSBlast. В то же время они также выпустили бюллетень с описанием эксплойта. ^{[2] [13]}
• Примерно 16 июля 2003 г.: Хакеры в белой шляпе создают тестовый код, подтверждающий уязвимость неисправленных систем. Код не был опубликован. ^[5]
• 17 июля 2003 г.: CERT/CC выпускает предупреждение и предлагает заблокировать порт 135. ^[14]
• 21 июля 2003 г.: CERT/CC предлагает также заблокировать порты 139 и 445. ^[14]
• 25 июля 2003 г.: xFocus публикует информацию о том, как использовать ошибку RPC, для исправления которой Microsoft выпустила патч от 16 июля. ^[15]
• 1 августа 2003 г.: США выпускают предупреждение о необходимости внимательно следить за вредоносными программами, использующими ошибку RPC. ^[5]
• Где-то до 11 августа 2003 г.: существуют и другие вирусы, использующие эксплойт RPC. ^[9]
• 11 августа 2003 г.: в Интернете появилась оригинальная версия червя. ^[16]
• 11 августа 2003 г.: Symantec Antivirus выпускает быстрое обновление защиты. ^[8]
• 11 августа 2003 г., вечер: антивирусные компании и компании по обеспечению безопасности выпустили предупреждения о необходимости запуска Центра обновления Windows. ^[16]
• 12 августа 2003 г.: Сообщается, что число зараженных систем достигло 30 000. ^[16]
• 13 августа 2003 г. Появляются и начинают распространяться два новых червя. (Sophos, вариант MSBlast и W32/RpcSpybot-A, совершенно новый червь, использовавший тот же эксплойт) ^[17]
• 15 августа 2003 г.: Сообщается, что число зараженных систем составляет 423 000. ^[18]
• 16 августа 2003 г.: начинается DDoS-атака на windowsupdate.com. (По большей части безуспешно, поскольку этот URL-адрес представляет собой просто перенаправление на настоящий сайт windowsupdate.microsoft.com.) ^[16]
• 18 августа 2003 г.: Microsoft выпускает предупреждение относительно MSBlast и его вариантов. ^[19]
• 18 августа 2003 г.: В Интернете появляется похожий полезный червь Welchia . ^[20]
• 19 августа 2003 г.: Symantec повышает оценку риска Welchia до «высокого» (категория 4). ^[21]
• 25 августа 2003 г.: McAfee снижает оценку риска до «Среднего». ^[22]
• 27 августа 2003 г.: В одном из вариантов червя обнаружена потенциальная DDoS-атака на HP. ^[8]
• 1 января 2004 г.: Welchia удаляет себя. ^[20]
• 13 января 2004 г.: Microsoft выпускает отдельный инструмент для удаления червя MSBlast и его вариантов. ^[23]
• 15 февраля 2004 г.: В Интернете обнаружен вариант родственного червя Welchia. ^[24]
• 26 февраля 2004 г.: Symantec снижает оценку риска заражения червем Welchia до «низкого» (категория 2). ^[20]
• 12 марта 2004 г.: McAfee снижает оценку риска до «Низкая». ^[22]
• 21 апреля 2004 г.: обнаружен вариант «В». ^[22]
• 28 января 2005 г.: создатель варианта B MSBlaster приговорен к 18 месяцам тюремного заключения. ^[25]

Побочные эффекты

Хотя червь может распространяться только в системах под управлением Windows 2000 или Windows XP , он может вызывать нестабильность работы службы RPC в системах под управлением других версий Windows NT , включая Windows Server 2003 и Windows XP Professional x64 Edition . В частности, червь не распространяется в Windows Server 2003, поскольку Windows Server 2003 был скомпилирован с ключом /GS, который обнаруживал переполнение буфера и отключал процесс RPCSS. ^[26] При возникновении заражения переполнение буфера приводит к сбою службы RPC, в результате чего Windows отображает следующее сообщение, а затем автоматически перезагружается, обычно через 60 секунд. ^[27]

Выключение системы:

Эта система отключается. Пожалуйста, сохраните всю незавершенную работу и выйдите из системы. Все несохраненные изменения будут потеряны. Это завершение работы было инициировано NT AUTHORITY\SYSTEM.

Время до выключения: часы:минуты:секунды

Сообщение:

Теперь Windows необходимо перезагрузить, поскольку служба удаленного вызова процедур (RPC) неожиданно завершилась.

Это был первый признак заражения многих пользователей; это часто происходило через несколько минут после каждого запуска на взломанных машинах. Простой способ остановить обратный отсчет — запустить команду «shutdown /a», ^[28] вызывающую некоторые побочные эффекты, такие как пустой (без пользователей) экран приветствия. ^[29] Червь Welchia оказал аналогичный эффект. Несколько месяцев спустя появился червь Sasser , вызвавший появление аналогичного сообщения.

Смотрите также

• Конфикер
• Хронология компьютерных вирусов и червей
• Список осужденных компьютерных преступников
• Зевс (вредоносное ПО)

Рекомендации

1. «Рекомендация CERT CA-2003-20: червь W32/Blaster» . CERT/CC. 14 августа 2003 г. Архивировано из оригинала 17 октября 2014 г. Проверено 3 ноября 2018 г.
2. «MS03-026: переполнение буфера в RPC может разрешить выполнение кода». Поддержка Майкрософт . Корпорация Майкрософт . Проверено 3 ноября 2018 г.
3. «Житель Миннесоты приговорен к 18 месяцам тюремного заключения за создание и распространение варианта компьютерного червя MS Blaster» . Министерство юстиции США . 28 января 2005 г. Проверено 17 февраля 2021 г.
4. Томсон, Иэн (1 сентября 2003 г.). «ФБР арестовывает «глупого» подозреваемого в Blaster.B» . vnunet.com . Архивировано из оригинала 1 ноября 2008 г. Проверено 3 ноября 2018 г.
5. "MSBlast W32.Blaster.Worm / LovSan :: инструкции по удалению" . able2know.org. 12 августа 2003 г. Проверено 3 ноября 2018 г.
6. «Бюллетень по безопасности Microsoft MS03-026 — критично» . Learn.microsoft.com . 1 марта 2023 г.
7. «Бюллетень по безопасности Microsoft MS03-039 — критично» . Learn.microsoft.com . 1 марта 2023 г.
8. "W32.Blaster.Worm". Симантек. 09.12.2003. Архивировано из оригинала 17 мая 2018 года . Проверено 3 ноября 2018 г.
9. «Жизненный цикл уязвимости» (PDF) . Internet Security Systems, Inc., 2005 г. Архивировано из оригинала (PDF) 24 декабря 2016 г. Проверено 3 ноября 2018 г.
10. "Червь:Win32/Msblast.A". Корпорация Майкрософт . Проверено 3 ноября 2018 г.
11. Брансфилд, Джин (18 декабря 2003 г.). «Червь Welchia» (PDF) . стр. 14, 17 . Проверено 3 ноября 2018 г.
12. «Переполнение буфера при обработке сообщений ядра Windows может привести к повышению привилегий (811493)» . Проверено 3 ноября 2018 г.
13. «Недостаток в реализации Microsoft Windows RPC» . 16 июля 2003 г. Архивировано из оригинала 4 марта 2016 г.
14. «Переполнение буфера в Microsoft RPC». 8 августа 2003 г. Архивировано из оригинала 15 июля 2014 г. Проверено 3 ноября 2018 г.
15. «Анализ переполнения буфера LSD в интерфейсе Windows RPC» . 25 июля 2003 г. Архивировано из оригинала 17 февраля 2018 г. Проверено 3 ноября 2018 г.
16. Робертс, Пол Ф. (12 августа 2003 г.). «Распространяется червь-бластер, эксперты предупреждают об атаке» . Инфомир . Проверено 3 ноября 2018 г.
17. Робертс, Пол Ф. (13 августа 2003 г.). «Новый вариант червя Blaster в продаже» . Инфомир . Проверено 3 ноября 2018 г.
18. Робертс, Пол Ф. (18 августа 2003 г.). «Бластерный червь атакует бюст». Инфомир . Проверено 3 ноября 2018 г.
19. «Вирусное предупреждение о черве Blaster и его вариантах» . Поддержка Майкрософт . Корпорация Майкрософт . Проверено 3 ноября 2018 г.
20. "W32.Welchia.Worm". Симантек. 11 августа 2017 г. Архивировано из оригинала 3 сентября 2018 года . Проверено 3 ноября 2018 г.
21. Нарейн, Райан (19 августа 2003 г.). «Дружелюбный червь Welchia сеет хаос» . ИнтернетНьюс.com . Проверено 3 ноября 2018 г.
22. «Профиль вируса: W32/Lovsan.worm.a». Макафи . 11 августа 2003 г. Проверено 3 ноября 2018 г.
23. «Доступен инструмент для удаления червей Blaster и червей Nachi с компьютеров под управлением Windows 2000 или Windows XP» . Поддержка Майкрософт . Корпорация Майкрософт. Архивировано из оригинала 06 августа 2014 г. Проверено 3 ноября 2018 г.
24. "W32.Welchia.C.Worm" . Симантек. 13 февраля 2007 г. Архивировано из оригинала 3 ноября 2018 года . Проверено 3 ноября 2018 г.
25. «Житель Миннесоты приговорен к 18 месяцам тюремного заключения за создание и распространение варианта компьютерного червя MS Blaster» . 28 января 2005 г. Архивировано из оригинала 14 июля 2014 г. Проверено 3 ноября 2018 г.
26. Ховард, Майкл (23 мая 2004 г.). «Почему Blaster не заразил Windows Server 2003». Разработчик Microsoft . Корпорация Майкрософт . Проверено 3 ноября 2018 г.
27. "Worm_MSBlast.A". TrendMicro.com . Проверено 3 ноября 2018 г.
28. «Вирус Blaster Worm или его варианты вызывают завершение работы компьютера с сообщением об ошибке NT AUTHORITY\SYSTEM, касающимся службы удаленного вызова процедур (RPC)» . Служба поддержки клиентов HP . ХП . Архивировано из оригинала 10 ноября 2014 г. Проверено 3 ноября 2018 г.
29. "Бластерный червь". Техопедия . Проверено 3 ноября 2018 г.