W32.Blaster.Worm

Av
Anonymous
-
0

Microsoft
har erbjudit virusskapare ännu en underbar chans att frustrera PC-användare.
Det senaste säkerhetsfelet, integrerat i varje OS baserat på NT4.0
kärna (eller nyare), möjliggör en “Run code of attacker’s
choice”, som du kan hitta i
Microsoft Security Bulletin MS03-026.
Dessa versioner av Windows tillåter en buffertinvasion i RPCt
(Remote procedure call, följ länken för mer information)
som är en del av Windows DCOM service. Pga denna invasion, används
bufferten inte längre bara åt att spara data, utan körs också
som kod.
Felet upptäcktes av The Last Stage of
Delirium Research Group. Microsoft bekräftade problemet, och
släppte information om felet den 16 juli 2003. Efter det såg en
virusskribent sin chans och släppte lös farsoten.

Det nyaste
spridda
viruset heter W32.Blaster.Worm (Symantec),
W32/Lovsan.worm (McAfee),
W32/Blaster-A (Sophos),WORM_MSBLAST.A
(Trend
micro), W32/Blaster (Panda),
Lovesan (F-secure).
De flesta klassar viruset som medelfarligt, vissa klassar det farligare
(F-Secure).


VĂ€rlden sover inte,
och har redan reagerat på den första versionen av viruset. VĂ„r vän
bakom detta sover inte mycket heller, han har nÀmligen slÀppt ut nya varianter
av viruset. Sophos antivirus rapporterar om en ny virusversion, kallad 
W32/Blaster-B.
F-secure har redan hittat en “C”-version av viruset.
Jag tror att vi kan vÀnta oss fler varianter under nÀsta vecka.

AngÄende skadan
orsakad av viruset: Symantec höjde
deras
alarmnivÄer pga antalet infektioner. Om The Inquirer har rÀtt
sÄ
har IBM ocksÄ blivit smittade.


Virusets kÀllkod innehÄller följande meddelande (enligt Sophos,
F-Secure):

 









Bild ifrÄn F-Secure Corporation

Version
A:
I just want to say LOVE YOU SAN!!
billy gates why do you
make
this possible ?
Stop making money and fix your software!!

Version
B:
Microsoft can suck my left testi!
Bill Gates can suck my
right
testi!
And All Antivirus Makers Can Suck My Big Fat Cock

Även om den
första versionen antyder att programmeraren menade väl (bara för
att peka ut allvaret i problemet, och alla de andra säkerhetsproblemet
Microsoft har), visar det sig vara annorlunda:


 

Hur det fungerar

Det smittar din
PC
genom att anvÀnda RPC-felet: det skannar TCP-port 135, söker nya offer genom
att
anvÀnda en algoritm som vÀljer vilka IP som Àr mÄltavlorna (F-Secure och Norton
har en förklaring till algoritmen).
En utav fem sökningar Àr riktad till
Win
2k-anvÀndare, de andra 4 Àr riktade mot Win XP-anvÀndare; Win NT/2003
servrar
kan krascha, de blir inte infekterade.
NÀr en annan sÄrbar PC Àr hittad sÄ anvÀnder viruset TCP port 4444 för att
skapa ett s.k. remote shell i datorn, och laddar ner sig sjÀlvt efter att
offret har skickat ett TFTP UDP port 69-kommando. Medan detta pÄgÄr sÄ kan
du fÄ du ett felmeddelande ifrÄn svchost.exe, nÀr informationen skickad ifrÄn
viruset inte Ă€r korrekt. Pga mĂ€ngden trafik som genereras överlastas
ditt nÀtverk.

MsBlaster sparar sig sjÀlvt i din windowsmapp och körs. Programmet sparas
som "msblast.exe" (originalviruset), Root32.exe och teekids.exe
(första varianten) och penis32.exe (andra varianten). Det börjar direkt lyssna
pÄ 20 TCP-portar (som konstant Àndras, de 20 portarna följer efter varandra),
dock sÄ har funktionen för detta inte hittats Àn.

Efter det sÄ
skapar
det en nyckel i
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
med följande vĂ€rde: “windows auto update” = msblast.exe. Genom att göra
detta sÄ startar viruset varje gÄng du startar Windows.

NĂ€r du startar
Windows sÄ visas ett systemmeddelande, som ger dig exakt en minut till att
arbeta pÄ din PC (jag antar att du inte har tid att köra 3DMark dÄ :p).
Detta
meddelande Àr genererat av Windows, sÄ det kan visas i vilket sprÄk du Àn
anvĂ€nder.  Anledningen till detta meddelandet Ă€r att viruset fĂ„r RPC
att
krascha. Eftersom detta Àr en kritisk tjÀnst i Windows, sÄ försöker ditt OS
att
starta om den, men tyvÀrr sÄ Àr detta endast möjligt genom att starta om
datorn.

 









Bild ifrÄn F-Secure Corporation

Mellan den 16:e
och 31:e Augusti sÄ försöker viruset starta en stor DoS-attack mot Microsofts Windows Update-sida,
som gör det omöjligt för dig (och sidan) att skaffa en patch. (Och antagligen
sÀnker deras servrar för ett litet tag).

Viruset (vad vi
vet
hittils) förstör ingen data, det ger heller ingen tillgÄng till din PC, det
bara
gör det trÄkigt för dig tills du hittar ett passande botemedel.

Det finns tre
alternativ:


  1. Använd
    din uppdaterade virusscanner
  2. Radera
    masken manuellt
  3. Många
    antivirusföretag har också ett verktyg tillhands för gemene
    man (se nedan):

Om du har ett virusprogram installerat, klarar du dig genom att uppdatera och
sedan scanna.
Om du vill döda masken manuellt (hämnden är ljuv?), beskriver
följande steg hur du bör gå tillväga (avsett för det
ursprungliga viruset): (Märk väl: du gör detta på din egen
risk!)

  1. Stäng
    av systemåterställning
    • Starta i
      safe mode

    • till kontrollpanelen (classic view om du använder Win XP)
    • Öppna
      “System”

    • till systemåterställning, och välj bort systemåterställning
  2. Ta
    död på viruet genom att använda Task Manager
    • Tryck Ctrl+Alt+Del
    • Stäng
      av maxblast.exe-processen
  3. Radera
    registernyckeln
    • Öppna
      regedit (startmenyn > kör > regedit)
    • Sök
      efter följande nyckel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    • den högra sidan kommer du att se värdet “windows auto update”=”msblast.exe”.
      Radera detta.
  4. Radera
    msblast.exe från Windowskatalogen

Du kan skydda din
dator genom att ladda hem den senaste patchen (finns tillgänglig för
alla berörda OS) härifrån.
Ett virusprogram som låts vara igång och uppdateras hjälper
naturligtvis också dig att skydda din PC.

För att
sammanfatta denna artikeln, skulle jag vilja råda alla att göra
det till en vana att uppdatera Windows. Windows XP möjliggör automatiska
uppdateringar, och även om Microsoft har sin “trustworthy computer initiative”,
kommer det att fortsätta att vara ett osäkert operativsystem. Så
att patcha kommer alltid att vara en del av Windows.

Å andra
sidan kan du alltid byta till Linux… 😀

Om du vill ha
mer information om viruset, kan du alltid titta in på virusprogrammens
hemsidor. Det finns också en sida som är helt dedikerad masken.
Den finner du här.

RELATERADE ARTIKLARMER FRÅN SKRIBENTEN

Subscribe
Notifiera vid
0 Comments
Ă€ldsta
senaste flest röster
Inline Feedbacks
View all comments