W32.Blaster.Worm

Microsoft
har erbjudit virusskapare ännu en underbar chans att frustrera PC-användare.
Det senaste säkerhetsfelet, integrerat i varje OS baserat på NT4.0
kärna (eller nyare), möjliggör en “Run code of attacker’s
choice”, som du kan hitta i
Microsoft Security Bulletin MS03-026.
Dessa versioner av Windows tillåter en buffertinvasion i RPCt
(Remote procedure call, följ länken för mer information)
som är en del av Windows DCOM service. Pga denna invasion, används
bufferten inte längre bara åt att spara data, utan körs också
som kod.
Felet upptäcktes av The Last Stage of
Delirium Research Group. Microsoft bekräftade problemet, och
släppte information om felet den 16 juli 2003. Efter det såg en
virusskribent sin chans och släppte lös farsoten.

Världen sover inte,
och har redan reagerat på den första versionen av viruset. Vår vän
bakom detta sover inte mycket heller, han har nämligen släppt ut nya varianter
av viruset. Sophos antivirus rapporterar om en ny virusversion, kallad 
W32/Blaster-B.
F-secure har redan hittat en “C”-version av viruset.
Jag tror att vi kan vänta oss fler varianter under nästa vecka.

Angående skadan
orsakad av viruset: Symantec höjde
deras
alarmnivåer pga antalet infektioner. Om The Inquirer har rätt
så
har IBM också blivit smittade.

Virusets källkod innehåller följande meddelande (enligt Sophos,
F-Secure):

Version
A:
I just want to say LOVE YOU SAN!!
billy gates why do you
make
this possible ?
Stop making money and fix your software!!

Version
B:
Microsoft can suck my left testi!
Bill Gates can suck my
right
testi!
And All Antivirus Makers Can Suck My Big Fat Cock

Även om den
första versionen antyder att programmeraren menade väl (bara för
att peka ut allvaret i problemet, och alla de andra säkerhetsproblemet
Microsoft har), visar det sig vara annorlunda:

Hur det fungerar

Det smittar din
PC
genom att använda RPC-felet: det skannar TCP-port 135, söker nya offer genom
att
använda en algoritm som väljer vilka IP som är måltavlorna (F-Secure och Norton
har en förklaring till algoritmen).
En utav fem sökningar är riktad till
Win
2k-användare, de andra 4 är riktade mot Win XP-användare; Win NT/2003
servrar
kan krascha, de blir inte infekterade.
När en annan sårbar PC är hittad så använder viruset TCP port 4444 för att
skapa ett s.k. remote shell i datorn, och laddar ner sig självt efter att
offret har skickat ett TFTP UDP port 69-kommando. Medan detta pågår så kan
du få du ett felmeddelande ifrån svchost.exe, när informationen skickad ifrån
viruset inte är korrekt. Pga mängden trafik som genereras överlastas
ditt nätverk.

MsBlaster sparar sig självt i din windowsmapp och körs. Programmet sparas
som "msblast.exe" (originalviruset), Root32.exe och teekids.exe
(första varianten) och penis32.exe (andra varianten). Det börjar direkt lyssna
på 20 TCP-portar (som konstant ändras, de 20 portarna följer efter varandra),
dock så har funktionen för detta inte hittats än.

Efter det så
skapar
det en nyckel i
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
med följande värde: “windows auto update” = msblast.exe. Genom att göra
detta så startar viruset varje gång du startar Windows.

När du startar
Windows så visas ett systemmeddelande, som ger dig exakt en minut till att
arbeta på din PC (jag antar att du inte har tid att köra 3DMark då :p).
Detta
meddelande är genererat av Windows, så det kan visas i vilket språk du än
använder.  Anledningen till detta meddelandet är att viruset får RPC
att
krascha. Eftersom detta är en kritisk tjänst i Windows, så försöker ditt OS
att
starta om den, men tyvärr så är detta endast möjligt genom att starta om
datorn.

Bild ifrån F-Secure Corporation

Mellan den 16:e
och 31:e Augusti så försöker viruset starta en stor DoS-attack mot Microsofts Windows Update-sida,
som gör det omöjligt för dig (och sidan) att skaffa en patch. (Och antagligen
sänker deras servrar för ett litet tag).

Viruset (vad vi
vet
hittils) förstör ingen data, det ger heller ingen tillgång till din PC, det
bara
gör det tråkigt för dig tills du hittar ett passande botemedel.