Nová varianta legendy Blaster.K

Blaster.K je internetový červ, který zneužívá bezpečnostní chyby v DCOM RPC přes síťový port 135, která je dokumentována v Security Bulletinu MS03-026.

Červ je schopen šíření pouze na Windows 2000 nebo Windows XP - na serverech Windows NT a Windows 2003 se nešíří. Neobsahuje také funkce pro hromadné šíření se emailem.

Pokud se na napadeném systému aktivuje Blaster.K, provedou se následující činnosti.

  • Červ zkontroluje, zda již není počítač infikován – nikdy nenapadá počítač dvakrát.
  • Do systémového registru ve větvi
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    červ vloží záznam "windows shellext.32"="mschost.exe", který zajistí aktivaci červa i po restartu systému.
  • Červ generuje náhodné IP adresy a následně se pokouší na tyto adresy šířit. Adresa je generována podle následujícího algoritmu:
    • 40% času je IP adresa ve tvaru A.B.C.0, kde A a B odpovídá počátečním hodnotám z IP adresy napadeného počítače. Část C je počítána ze třetí části IP adresy napadeného počítače, nicméně červ toto číslo sleduje, a pokud je větší než 20, dosadí náhodou hodnotu větší než 20. Poslední číslo IP adresy při úspěšných pokusech červ stále zvyšuje až do hodnoty 254.
    • 60% času červ generuje IP adresu naprosto náhodně.
  • Červ odesílá data na TCP port 135, kde se snaží zneužít bezpečnostní chyby v DCOM RPC. Odesílán je vždy jeden z dvou typů dat pro pokus o napadení Windows XP (80% času) nebo Windows 2000 (20% času).
  • Pomocí cmd.exe vytvoří červ skrytý proces, který naslouchá na TCP portu 4444 a umožňuje útočníkům provádět zaslané příkazy na napadeném počítači.
  • Červ dále naslouchá na UDP portu 69. V případě přijetí požadavku ze vzdáleného počítače je schopen provést připojení přes bezpečnostní díru DCOM RPC, zaslat soubor mschost.exe na daný počítač a zároveň ho i spustit.
  • Červ se při splnění specifických podmínek pokouší podniknout DoS útok na adresu kimble.org a windowsupdate.com. DoS útok zasílá 50 HTTP paketů dlouhých 40 bajtů každou sekundu. Pokud červ nenajde DNS záznam pro doménu kimble.org, použije adresu 255.255.255.255.

Červ ve svém kódu obsahuje následující text:

Can you hear me? I LOVE YOU SAN!!
Sucky gates why do you made this windows? Stop fooling around and make good things!!!

Na závěr snad již tradiční doporučení – nezapomeňte aktualizovat váš antivirový program.

Zdroj: Symantec

Diskuze (6) Další článek: Jaká česká rádia jsou nejposlouchanější po internetu?

Témata článku: Windows, Legenda, Bezpečnostní díra, Nová varianta, Love, Varianta, Good, Made, Adresa, Legend


Určitě si přečtěte

Modelářský zázrak: Maketa raketoplánu Columbia, která létá jako skutečná raketa

Modelářský zázrak: Maketa raketoplánu Columbia, která létá jako skutečná raketa

** Model raketoplánu Columbia od českého konstruktéra umí i létat ** Obdivuhodný model si vzal 1600 hodin práce ** Podívejte se na fotografie ze stavby a prvního letu

Karel Jeřábek | 20

Nová americká jaderná puma změní strategii boje

Nová americká jaderná puma změní strategii boje

** Bombardér Northrop Grumman B-2 Spirit amerického letectva nedávno svrhl jadernou pumu ** Šlo o test nové varianty pumy B61-12 ** Ta by měla mít hlavice schopné explodovat se silou 0,3 až 50 kilotun

Stanislav Mihulka | 63

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

** Máme eObčanku, máme čtečku, vyzkoušeli jsme přihlášení na weby úřadů. ** Objevily se drobné problémy, podařilo se nám je vyřešit. ** Používání eObčanky pro online identifikaci je velmi pohodlné.

Marek Lutonský | 35

Praktické vychytávky, které si chcete doinstalovat do Windows

Praktické vychytávky, které si chcete doinstalovat do Windows

** Pokud vás nudí vzhled nabídky Start, snadno jej můžete změnit. ** Stejně tak existují programy na přidání záložek do programů. ** Spokojit se ani nemusíte se základním ovládáním hlasitosti.

Vladislav Kluska | 46

Na Zemi je nejtepleji za posledních více než 100 tisíc let. Co nám hrozí?

Na Zemi je nejtepleji za posledních více než 100 tisíc let. Co nám hrozí?

** Letošní červenec byl třetím nejteplejším měsícem od roku 1880 ** Teplota naší planety roste raketovým tempem ** Co lidstvu hrozí v období, které v minulosti nemá obdoby?

Karel Kilián | 70

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 65


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku