Nová varianta legendy Blaster.K

Blaster.K je internetový červ, který zneužívá bezpečnostní chyby v DCOM RPC přes síťový port 135, která je dokumentována v Security Bulletinu MS03-026.

Červ je schopen šíření pouze na Windows 2000 nebo Windows XP - na serverech Windows NT a Windows 2003 se nešíří. Neobsahuje také funkce pro hromadné šíření se emailem.

Pokud se na napadeném systému aktivuje Blaster.K, provedou se následující činnosti.

  • Červ zkontroluje, zda již není počítač infikován – nikdy nenapadá počítač dvakrát.
  • Do systémového registru ve větvi
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    červ vloží záznam "windows shellext.32"="mschost.exe", který zajistí aktivaci červa i po restartu systému.
  • Červ generuje náhodné IP adresy a následně se pokouší na tyto adresy šířit. Adresa je generována podle následujícího algoritmu:
    • 40% času je IP adresa ve tvaru A.B.C.0, kde A a B odpovídá počátečním hodnotám z IP adresy napadeného počítače. Část C je počítána ze třetí části IP adresy napadeného počítače, nicméně červ toto číslo sleduje, a pokud je větší než 20, dosadí náhodou hodnotu větší než 20. Poslední číslo IP adresy při úspěšných pokusech červ stále zvyšuje až do hodnoty 254.
    • 60% času červ generuje IP adresu naprosto náhodně.
  • Červ odesílá data na TCP port 135, kde se snaží zneužít bezpečnostní chyby v DCOM RPC. Odesílán je vždy jeden z dvou typů dat pro pokus o napadení Windows XP (80% času) nebo Windows 2000 (20% času).
  • Pomocí cmd.exe vytvoří červ skrytý proces, který naslouchá na TCP portu 4444 a umožňuje útočníkům provádět zaslané příkazy na napadeném počítači.
  • Červ dále naslouchá na UDP portu 69. V případě přijetí požadavku ze vzdáleného počítače je schopen provést připojení přes bezpečnostní díru DCOM RPC, zaslat soubor mschost.exe na daný počítač a zároveň ho i spustit.
  • Červ se při splnění specifických podmínek pokouší podniknout DoS útok na adresu kimble.org a windowsupdate.com. DoS útok zasílá 50 HTTP paketů dlouhých 40 bajtů každou sekundu. Pokud červ nenajde DNS záznam pro doménu kimble.org, použije adresu 255.255.255.255.

Červ ve svém kódu obsahuje následující text:

Can you hear me? I LOVE YOU SAN!!
Sucky gates why do you made this windows? Stop fooling around and make good things!!!

Na závěr snad již tradiční doporučení – nezapomeňte aktualizovat váš antivirový program.

Zdroj: Symantec

Diskuze (6) Další článek: Jaká česká rádia jsou nejposlouchanější po internetu?

Témata článku: Windows, Legenda, Adresa, Nová varianta, Good, Bezpečnostní díra, Varianta, Love, Legend, Made


Určitě si přečtěte

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

** Čeští vědci pod vedením Tomáše Jungwirtha vyvíjí nový typ revolučního paměťového čipu ** Zatímco v současnosti elektronika pracuje s elektrony, v budoucnu to budou spiny elektronů ** Čipy budou moci být klidně i 1 000x rychlejší a úspornější

Karel Javůrek | 32

Intel vs. AMD: souboj vícejádrových procesorů začal. AMD zesměšňuje Intel neuvěřitelně nízkou cenou

Intel vs. AMD: souboj vícejádrových procesorů začal. AMD zesměšňuje Intel neuvěřitelně nízkou cenou

** AMD představilo nové levné procesory až s 32jádry ** AMD útočí na serverový i domácí trh Intelu ** Intel nemá konkurenceschopnou nabídku

Karel Javůrek | 84

Šmírování kamerami Googlu: Koukněte se, co zachytily na Street View

Šmírování kamerami Googlu: Koukněte se, co zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 44

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

** Apple odhalil své plány na zcela nové mapy ** Několik let pracuje na nových mapách, které by měly předběhnout konkurenci ** Objeví se s příchodem iOS 12 pro vybrané státy

Karel Javůrek | 50

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

Osudová havárie Concordu: Před 18 lety přišel konec nadzvukových dopravních letadel

** Concorde byl nejrychlejším dopravním letadlem ** Atlantik dokázal přeletět za cca 3 až 3,5 hodiny ** Před osmnácti lety tragická havárie provoz těchto letadel prakticky ukončila

David Polesný, Jiří Černý | 38


Aktuální číslo časopisu Computer

Jak mobily určují svoji polohu?

Velký test notebooků pro studenty

Nejlepší reproduktory na párty

Služby a aplikace pro výuku angličtiny