Nová varianta legendy Blaster.K

Blaster.K je internetový červ, který zneužívá bezpečnostní chyby v DCOM RPC přes síťový port 135, která je dokumentována v Security Bulletinu MS03-026.

Červ je schopen šíření pouze na Windows 2000 nebo Windows XP - na serverech Windows NT a Windows 2003 se nešíří. Neobsahuje také funkce pro hromadné šíření se emailem.

Pokud se na napadeném systému aktivuje Blaster.K, provedou se následující činnosti.

  • Červ zkontroluje, zda již není počítač infikován – nikdy nenapadá počítač dvakrát.
  • Do systémového registru ve větvi
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    červ vloží záznam "windows shellext.32"="mschost.exe", který zajistí aktivaci červa i po restartu systému.
  • Červ generuje náhodné IP adresy a následně se pokouší na tyto adresy šířit. Adresa je generována podle následujícího algoritmu:
    • 40% času je IP adresa ve tvaru A.B.C.0, kde A a B odpovídá počátečním hodnotám z IP adresy napadeného počítače. Část C je počítána ze třetí části IP adresy napadeného počítače, nicméně červ toto číslo sleduje, a pokud je větší než 20, dosadí náhodou hodnotu větší než 20. Poslední číslo IP adresy při úspěšných pokusech červ stále zvyšuje až do hodnoty 254.
    • 60% času červ generuje IP adresu naprosto náhodně.
  • Červ odesílá data na TCP port 135, kde se snaží zneužít bezpečnostní chyby v DCOM RPC. Odesílán je vždy jeden z dvou typů dat pro pokus o napadení Windows XP (80% času) nebo Windows 2000 (20% času).
  • Pomocí cmd.exe vytvoří červ skrytý proces, který naslouchá na TCP portu 4444 a umožňuje útočníkům provádět zaslané příkazy na napadeném počítači.
  • Červ dále naslouchá na UDP portu 69. V případě přijetí požadavku ze vzdáleného počítače je schopen provést připojení přes bezpečnostní díru DCOM RPC, zaslat soubor mschost.exe na daný počítač a zároveň ho i spustit.
  • Červ se při splnění specifických podmínek pokouší podniknout DoS útok na adresu kimble.org a windowsupdate.com. DoS útok zasílá 50 HTTP paketů dlouhých 40 bajtů každou sekundu. Pokud červ nenajde DNS záznam pro doménu kimble.org, použije adresu 255.255.255.255.

Červ ve svém kódu obsahuje následující text:

Can you hear me? I LOVE YOU SAN!!
Sucky gates why do you made this windows? Stop fooling around and make good things!!!

Na závěr snad již tradiční doporučení – nezapomeňte aktualizovat váš antivirový program.

Zdroj: Symantec

Diskuze (6) Další článek: Jaká česká rádia jsou nejposlouchanější po internetu?

Témata článku: Windows, Made, Good, Bezpečnostní díra, Legend, Varianta, Adresa, Nová varianta, Legenda, Love


Určitě si přečtěte

Notebook do 10 000 korun: Co koupit a čemu se raději vyhnout

Notebook do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 75

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

** Budeme odposlouchávat IR ovladač klimatizace ** Vyrobíme laciný rádiový vysílač ** Vyzkoušíme komunikaci pomocí Bluetooth a v pásmu 433 MHz

Jakub Čížek | 20

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

** Máme eObčanku, máme čtečku, vyzkoušeli jsme přihlášení na weby úřadů. ** Objevily se drobné problémy, podařilo se nám je vyřešit. ** Používání eObčanky pro online identifikaci je velmi pohodlné.

Marek Lutonský | 37



Aktuální číslo časopisu Computer

Jak nastavit a ochránit nový mobil

Velký test bezdrátových klávesnicí a myší

Počítače v roce 2019

Srovnání barevných laserových multifunkcí