Nová varianta legendy Blaster.K

Blaster.K je internetový červ, který zneužívá bezpečnostní chyby v DCOM RPC přes síťový port 135, která je dokumentována v Security Bulletinu MS03-026.

Červ je schopen šíření pouze na Windows 2000 nebo Windows XP - na serverech Windows NT a Windows 2003 se nešíří. Neobsahuje také funkce pro hromadné šíření se emailem.

Pokud se na napadeném systému aktivuje Blaster.K, provedou se následující činnosti.

  • Červ zkontroluje, zda již není počítač infikován – nikdy nenapadá počítač dvakrát.
  • Do systémového registru ve větvi
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    červ vloží záznam "windows shellext.32"="mschost.exe", který zajistí aktivaci červa i po restartu systému.
  • Červ generuje náhodné IP adresy a následně se pokouší na tyto adresy šířit. Adresa je generována podle následujícího algoritmu:
    • 40% času je IP adresa ve tvaru A.B.C.0, kde A a B odpovídá počátečním hodnotám z IP adresy napadeného počítače. Část C je počítána ze třetí části IP adresy napadeného počítače, nicméně červ toto číslo sleduje, a pokud je větší než 20, dosadí náhodou hodnotu větší než 20. Poslední číslo IP adresy při úspěšných pokusech červ stále zvyšuje až do hodnoty 254.
    • 60% času červ generuje IP adresu naprosto náhodně.
  • Červ odesílá data na TCP port 135, kde se snaží zneužít bezpečnostní chyby v DCOM RPC. Odesílán je vždy jeden z dvou typů dat pro pokus o napadení Windows XP (80% času) nebo Windows 2000 (20% času).
  • Pomocí cmd.exe vytvoří červ skrytý proces, který naslouchá na TCP portu 4444 a umožňuje útočníkům provádět zaslané příkazy na napadeném počítači.
  • Červ dále naslouchá na UDP portu 69. V případě přijetí požadavku ze vzdáleného počítače je schopen provést připojení přes bezpečnostní díru DCOM RPC, zaslat soubor mschost.exe na daný počítač a zároveň ho i spustit.
  • Červ se při splnění specifických podmínek pokouší podniknout DoS útok na adresu kimble.org a windowsupdate.com. DoS útok zasílá 50 HTTP paketů dlouhých 40 bajtů každou sekundu. Pokud červ nenajde DNS záznam pro doménu kimble.org, použije adresu 255.255.255.255.

Červ ve svém kódu obsahuje následující text:

Can you hear me? I LOVE YOU SAN!!
Sucky gates why do you made this windows? Stop fooling around and make good things!!!

Na závěr snad již tradiční doporučení – nezapomeňte aktualizovat váš antivirový program.

Zdroj: Symantec

Diskuze (6) Další článek: Jaká česká rádia jsou nejposlouchanější po internetu?

Témata článku: Windows, Legendy, Bezpečnostní díra, Love, Adresa, Nová varianta, Made, Good, Legend, Legenda, Varianta

Určitě si přečtěte


Aktuální číslo časopisu Computer

Ochraňte svou techniku před zloději

Testy All-in-One PC a herních monitorů

Proč byste měli chtít HDR televizi

Svět leteckých simulátorů