Cesko.wiki Blaster
Author
Albert FloresBlaster (také známý jako Lovsan, Lovesan nebo MSBlast) byl počítačový červ, který se během srpna 2003 rozšířil na počítačích se systémem Microsoft Windows XP a Windows 2000.
Červ byl poprvé zaznamenán a začal se šířit 11. srpna 2003. +more Rychlost, kterou se šířil, se zvyšovala, a počet infekcí dosáhl vrcholu 13. srpna 2003. Filtrování ISP a rozsáhlá publicita omezila šíření Blastera. Dne 29. srpna 2003 byl Jeffrey Lee Parson, osmnáctiletý mladík z Hopkinsu v Minnesotě, zatčen pro vytvoření B varianty červa Blaster; přiznal se a v lednu 2005 byl odsouzen na 18 měsíců vězení.
Vznik a důsledky
Podle soudních dokumentů byl původní Blaster vytvořen poté, co bezpečnostní výzkumníci z čínské skupiny Xfocus použili reverzní inženýrství na původní Microsoft [url=://web. archive. +moreorg/web/20050225010955/http://www. microsoft. com/technet/security/bulletin/MS03-026. mspx MS03 - 026 ]url=://web. archive. org/web/20040603065110/http://www. microsoft. com/technet/security/bulletin/MS03-039. mspx MS03 - 039 ][Aktualizace (software)|patch]], který dovolil provedení útoku.
Červ se šířil tím, že využíval přetečení vyrovnávací paměti objevené polským bezpečnostním výzkumníkem skupiny Last Stage of Delirium v DCOM RPC služby na dotčených operačních systémech, pro které byla oprava vydána o jeden měsíc dříve v [[/url] a později v [[/url]. To umožnilo červovi se šířit bez otevírání příloh uživatelů jednoduše tím, že "spamoval" do velkého počtu náhodných IP adres. +more Byly zjištěny čtyři aktivní verze po internetu.
Červ je naprogramován, aby začal SYN flood na portu 80 z windowsupdate. com v případě, že datum systému je po 15. +more srpnu a před 31. prosincem a po 15. dni dalších měsíců, čímž se vytváří DDoS proti stránce. Poškození Microsoftu bylo minimální, protože cílená stránka byla windowsupdate. com, a ne windowsupdate. microsoft. com, na které byl přesměrován. Microsoft dočasně vypnul cílenou stránku ve snaze minimalizovat potenciální účinky červa.
Červí spustitelný soubor obsahuje dvě zprávy. První zní:
I just want to say LOVE YOU SAN!! soo much
Tato zpráva se dala červu alternativní název Lovesan. Druhá zní:
Billy Gates why do you make this possible? Stop making money
and fix your software! !
To je zpráva, Bill Gatesovi, spoluzakladateli společnosti Microsoft a cíl tohoto červa.
Červ také vytvoří následující položku registru tak, že se spustí při každém spuštění systému Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update=msblast. exe
Nežádoucí účinky
Ačkoli červ může šířit pouze na počítačích s operačním systémem Windows 2000 nebo Windows XP (32 bit), může způsobit nestabilitu ve službě RPC na systémech Windows NT, Windows XP (64 bit) a Windows Server 2003 . Zejména, červ se nešíří v systému Windows Server 2003, protože systém Windows Server 2003 byl kompilován s /GS spínačem, který odhalil přetečení vyrovnávací paměti a ukončil RPCSS proces Pokud dojde k infekci, buffer overflow způsobí, že služba RPC havaruje, vedoucí k tomu, že Windows zobrazí následující zprávu a poté se automaticky restartuje, obvykle po 60 sekundách.
: System Shutdown: : This system is shutting down. Please save all work in progress and log off. +more Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM : Time before shutdown: hh: mm: ss : Message: : Windows must now restart because the Remote Procedure Call : (RPC) Service terminated unexpectedly.
To byl první náznak toho, že uživatel měl infekci, často k tomu došlo několik minut po každém startu na napadených počítačů. Jednoduché řešení k zastavení odpočítávání je spustit "shutdown -s" příkaz v příkazovém řádku Windows, což mělo vedlejší následky, jako například prázdný (bez uživatelů) welcome screen. +more Welchia červ měl podobný účinek. O několik měsíců později se vynořil červ Sasser, který způsoboval zobrazení podobných zpráv.