Nová varianta legendy Blaster.K

Blaster.K je internetový červ, který zneužívá bezpečnostní chyby v DCOM RPC přes síťový port 135, která je dokumentována v Security Bulletinu MS03-026.

Červ je schopen šíření pouze na Windows 2000 nebo Windows XP - na serverech Windows NT a Windows 2003 se nešíří. Neobsahuje také funkce pro hromadné šíření se emailem.

Pokud se na napadeném systému aktivuje Blaster.K, provedou se následující činnosti.

  • Červ zkontroluje, zda již není počítač infikován – nikdy nenapadá počítač dvakrát.
  • Do systémového registru ve větvi
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    červ vloží záznam "windows shellext.32"="mschost.exe", který zajistí aktivaci červa i po restartu systému.
  • Červ generuje náhodné IP adresy a následně se pokouší na tyto adresy šířit. Adresa je generována podle následujícího algoritmu:
    • 40% času je IP adresa ve tvaru A.B.C.0, kde A a B odpovídá počátečním hodnotám z IP adresy napadeného počítače. Část C je počítána ze třetí části IP adresy napadeného počítače, nicméně červ toto číslo sleduje, a pokud je větší než 20, dosadí náhodou hodnotu větší než 20. Poslední číslo IP adresy při úspěšných pokusech červ stále zvyšuje až do hodnoty 254.
    • 60% času červ generuje IP adresu naprosto náhodně.
  • Červ odesílá data na TCP port 135, kde se snaží zneužít bezpečnostní chyby v DCOM RPC. Odesílán je vždy jeden z dvou typů dat pro pokus o napadení Windows XP (80% času) nebo Windows 2000 (20% času).
  • Pomocí cmd.exe vytvoří červ skrytý proces, který naslouchá na TCP portu 4444 a umožňuje útočníkům provádět zaslané příkazy na napadeném počítači.
  • Červ dále naslouchá na UDP portu 69. V případě přijetí požadavku ze vzdáleného počítače je schopen provést připojení přes bezpečnostní díru DCOM RPC, zaslat soubor mschost.exe na daný počítač a zároveň ho i spustit.
  • Červ se při splnění specifických podmínek pokouší podniknout DoS útok na adresu kimble.org a windowsupdate.com. DoS útok zasílá 50 HTTP paketů dlouhých 40 bajtů každou sekundu. Pokud červ nenajde DNS záznam pro doménu kimble.org, použije adresu 255.255.255.255.

Červ ve svém kódu obsahuje následující text:

Can you hear me? I LOVE YOU SAN!!
Sucky gates why do you made this windows? Stop fooling around and make good things!!!

Na závěr snad již tradiční doporučení – nezapomeňte aktualizovat váš antivirový program.

Zdroj: Symantec

Diskuze (6) Další článek: Jaká česká rádia jsou nejposlouchanější po internetu?

Témata článku: Windows, Love, Nová varianta, Legend, Legenda, Adresa, Made, Bezpečnostní díra, Varianta, Good

Určitě si přečtěte


Aktuální číslo časopisu Computer

Jak rychlé je nabíjení bez drátů?

Test 11 sluchátek pro hráče

Aplikace, které vám zachrání dovolenou

Kompletní přehled datových tarifů