Blaster (datormask)
Hexdumpning av Blaster-masken, som visar ett meddelande som programmeraren lämnat till Microsofts grundare Bill Gates
| |
| Tekniskt namn | Som Blaster
Som Lovsan Som MSBLAST
|
|---|---|
| Alias | Lovsan, Lovesan, MSBlast |
| Typ | Mask |
| Isolering | 2004 |
| Ursprungspunkt | Minnesota (endast B-variant) |
| Författare | Jeffrey Lee Parson (endast B-variant) |
| Använda port(ar). | Fjärrproceduranrop |
| Operativsystem påverkas | Windows XP och Windows 2000 |
Blaster (även känd som Lovsan , Lovesan eller MSBlast ) var en datormask som spreds på datorer som körde operativsystemen Windows XP och Windows 2000 under augusti 2003.
Masken märktes först och började spridas den 11 augusti 2003. Hastigheten att den spred sig ökade tills antalet infektioner nådde en topp den 13 augusti 2003. När ett nätverk (som ett företag eller universitet) väl infekterades spreds det snabbare inom nätverket eftersom brandväggar vanligtvis inte hindrade interna maskiner från att använda en viss port. Filtrering efter internetleverantörer och utbredd publicitet om masken dämpade spridningen av Blaster.
åtalades Jeffrey Lee Parson, en 18-åring från Hopkins, Minnesota , för att ha skapat B-varianten av Blaster-masken; han erkände ansvaret och dömdes till 18 månaders fängelse i januari 2005. Författaren till den ursprungliga A-varianten är fortfarande okänd.
Skapande och effekter
Enligt domstolspapper skapades den ursprungliga Blaster efter att säkerhetsforskare från den kinesiska gruppen Xfocus reverse engineering av den ursprungliga Microsoft-patchen som gjorde det möjligt att utföra attacken.
Masken sprider sig genom att utnyttja ett buffertspill som upptäckts av den polska säkerhetsforskningsgruppen Last Stage of Delirium i DCOM RPC -tjänsten på de drabbade operativsystemen, för vilka en patch hade släppts en månad tidigare i MS03-026 och senare i MS03-039 . Detta gjorde att masken kunde spridas utan att användare öppnade bilagor helt enkelt genom att spamma sig själv till ett stort antal slumpmässiga IP-adresser. Fyra versioner har upptäckts i naturen. Dessa är de mest välkända utnyttjandena av det ursprungliga felet i RPC, men det fanns faktiskt ytterligare 12 olika sårbarheter som inte fick så mycket uppmärksamhet i media.
Masken programmerades för att starta en SYN-översvämning mot port 80 på windowsupdate.com om systemdatumet är efter 15 augusti och före 31 december och efter den 15:e dagen i andra månader, vilket skapar en distribuerad överbelastningsattack (DDoS) mot webbplats. Skadorna för Microsoft var minimala eftersom den riktade webbplatsen var windowsupdate.com, snarare än windowsupdate.microsoft.com, dit den förstnämnda omdirigerades. Microsoft stängde tillfälligt ner den riktade webbplatsen för att minimera potentiella effekter från masken. [ citat behövs ]
Maskens körbara fil, MSBlast.exe, innehåller två meddelanden. Den första lyder:
Jag vill bara säga ÄLSKAR DIG SAN!!
Detta meddelande gav masken det alternativa namnet Lovesan. Den andra lyder:
billy gates varför gör du detta möjligt? Sluta tjäna pengar och fixa din programvara!!
Detta är ett meddelande till Bill Gates , Microsofts medgrundare och målet för masken .
Masken skapar också följande registerpost så att den startas varje gång Windows startar:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ windows auto update=msblast.exe
Tidslinje
- 28 maj 2003: Microsoft släpper en patch som skulle skydda användare från ett utnyttjande i WebDAV som Welchia använde. (Welchia använde samma exploatering som MSBlast men hade en ytterligare metod för spridning som fixades i den här patchen. Denna metod användes endast efter 200 000 RPC DCOM-attacker - den form som MSBlast använde.)
- 5 juli 2003: Tidsstämpel för patchen som Microsoft släpper den 16:e.
- 16 juli 2003: Microsoft släpper en patch som skulle skydda användare från den ännu okända MSBlast. Samtidigt släppte de också en bulletin som beskrev bedriften.
- Runt den 16 juli 2003: White hat-hackare skapar proof-of-concept-kod som verifierar att de opatchade systemen är sårbara. Koden släpptes inte.
- 17 juli 2003: CERT/CC släpper en varning och föreslår att port 135 blockeras.
- 21 juli 2003: CERT/CC föreslår också att portarna 139 och 445 blockeras.
- 25 juli 2003: xFocus släpper information om hur man utnyttjar RPC-felet som Microsoft släppte patchen den 16 juli för att fixa.
- 1 augusti 2003: USA utfärdar en varning för att vara på utkik efter skadlig programvara som utnyttjar RPC-felet.
- Någon gång före den 11 augusti 2003: Det finns andra virus som använder RPC-exploatet.
- 11 augusti 2003: Originalversionen av masken dyker upp på Internet.
- 11 augusti 2003: Symantec Antivirus släpper en snabb uppdatering av skyddet.
- 11 augusti 2003, kväll: Antivirus- och säkerhetsföretag utfärdade varningar för att köra Windows Update.
- 12 augusti 2003: Antalet infekterade system rapporteras till 30 000.
- 13 augusti 2003: Två nya maskar dyker upp och börjar spridas. (Sophos, en variant av MSBlast och W32/RpcSpybot-A, en helt ny mask som använde samma exploatering)
- 15 augusti 2003: Antalet infekterade system rapporteras till 423 000.
- 16 augusti 2003: DDoS-attack mot windowsupdate.com startar. (I stort sett misslyckat eftersom den webbadressen bara är en omdirigering till den riktiga webbplatsen, windowsupdate.microsoft.com.)
- 18 augusti 2003: Microsoft utfärdar en varning angående MSBlast och dess varianter.
- 18 augusti 2003: Den relaterade hjälpsamma masken Welchia dyker upp på internet.
- 19 augusti 2003: Symantec uppgraderar sin riskbedömning av Welchia till "hög" (kategori 4).
- 25 augusti 2003: McAfee sänker sin riskbedömning till "Medium".
- 27 augusti 2003: En potentiell DDoS-attack mot HP upptäcks i en variant av masken.
- 1 januari 2004: Welchia raderar sig själv.
- 13 januari 2004: Microsoft släpper ett fristående verktyg för att ta bort MSBlast-masken och dess varianter.
- 15 februari 2004: En variant av den relaterade masken Welchia upptäcks på internet.
- 26 februari 2004: Symantec sänker sin riskbedömning av Welchia-masken till "Låg" (kategori 2).
- 12 mars 2004: McAfee sänker sin riskbedömning till "Låg".
- 21 april 2004: En annan variant upptäcks.
- 28 januari 2005: Skaparen av "B"-varianten av MSBlaster döms till 18 månaders fängelse.
Bieffekter
Även om masken bara kan spridas på system som kör Windows 2000 eller Windows XP , kan den orsaka instabilitet i RPC-tjänsten på system som kör andra versioner av Windows NT , inklusive Windows Server 2003 och Windows XP Professional x64 Edition . Speciellt sprids masken inte i Windows Server 2003 eftersom Windows Server 2003 kompilerades med /GS-växeln, som upptäckte buffertspillet och stängde av RPCSS-processen. När infektion inträffar gör buffertspillet att RPC-tjänsten kraschar, vilket leder till att Windows visar följande meddelande och startar sedan om automatiskt, vanligtvis efter 60 sekunder.
Systemavstängning:
Detta system håller på att stängas av. Spara allt pågående arbete och logga ut. Alla osparade ändringar kommer att gå förlorade. Denna avstängning initierades av NT AUTHORITY\SYSTEM
Tid före avstängning: timmar:minuter:sekunder
Meddelande:
Windows måste nu startas om eftersom RPC-tjänsten (Remote Procedure Call) avslutades oväntat.
Detta var den första indikationen på att många användare hade en infektion; det inträffade ofta några minuter efter varje start på komprometterade maskiner. En enkel lösning för att stoppa nedräkningen är att köra kommandot "shutdown /a", vilket orsakar vissa biverkningar som en tom (utan användare) välkomstskärm. Welchia - masken hade en liknande effekt. Månader senare Sasser-masken upp, vilket gjorde att ett liknande meddelande dök upp.