Blaster

Blaster (také známý jako Lovsan, Lovesan nebo MSBlast) byl počítačový červ, který se během srpna 2003 rozšířil na počítačích se systémem Microsoft Windows XP a Windows 2000.^[1]

Červ byl poprvé zaznamenán a začal se šířit 11. srpna 2003. Rychlost, kterou se šířil, se zvyšovala, a počet infekcí dosáhl vrcholu 13. srpna 2003. Filtrování ISP a rozsáhlá publicita omezila šíření Blastera. Dne 29. srpna 2003 byl Jeffrey Lee Parson, osmnáctiletý mladík z Hopkinsu v Minnesotě, zatčen pro vytvoření B varianty červa Blaster; přiznal se a v lednu 2005 byl odsouzen na 18 měsíců vězení.^[2]

Vznik a důsledky

Podle soudních dokumentů byl původní Blaster vytvořen poté, co bezpečnostní výzkumníci z čínské skupiny Xfocus použili reverzní inženýrství na původní Microsoft patch, který dovolil^[zdroj?] provedení útoku.^[3]

Červ se šířil tím, že využíval přetečení vyrovnávací paměti objevené polským bezpečnostním výzkumníkem skupiny Last Stage of Delirium^[4] v DCOM RPC služby na dotčených operačních systémech, pro které byla oprava vydána o jeden měsíc dříve v MS03-026^[5] a později v MS03-039^[6]. To umožnilo červovi se šířit bez otevírání příloh uživatelů jednoduše tím, že "spamoval" do velkého počtu náhodných IP adres. Byly zjištěny čtyři po internetu aktivní verze.^[7]

Červ je naprogramován, aby začal SYN flood na portu 80 z windowsupdate.com v případě, že datum systému je po 15. srpnu a před 31. prosincem a po 15. dni dalších měsíců, čímž se vytváří DDoS proti stránce.^[8]Poškození Microsoftu bylo minimální, protože cílená stránka byla windowsupdate.com, a ne windowsupdate.microsoft.com, na které byl přesměrován. Microsoft dočasně vypnul cílenou stránku ve snaze minimalizovat potenciální účinky červa.

Červí spustitelný soubor obsahuje dvě zprávy. První zní: „I just want to say LOVE YOU SAN!! soo much“. Tato zpráva se dala červu alternativní název Lovesan.

Druhá zní: „Billy Gates why do you make this possible? Stop making money and fix your software!“. To je zpráva Bill Gatesovi, spoluzakladateli společnosti Microsoft, a cíl tohoto červa.

Červ také vytvoří následující položku registru tak, že se spustí při každém spuštění systému Windows: „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update=msblast. exe“.

Nežádoucí účinky

Ačkoli červ může šířit pouze na počítačích s operačním systémem Windows 2000 nebo Windows XP (32 bit), může způsobit nestabilitu ve službě RPC na systémech Windows NT, Windows XP (64 bit) a Windows Server 2003. Zejména se červ nešíří v systému Windows Server 2003, protože systém Windows Server 2003 byl kompilován s /GS spínačem, který odhalil přetečení vyrovnávací paměti a ukončil RPCSS proces.^[9] Pokud dojde k infekci, buffer overflow způsobí, že služba RPC havaruje, což vede k tomu, že Windows zobrazí následující zprávu a poté se automaticky restartuje, obvykle po 60 sekundách:^[10]

System Shutdown:

This system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM

Time before shutdown: hh: mm: ss

Message:

Windows must now restart because the Remote Procedure Call

(RPC) Service terminated unexpectedly.

To byl první náznak toho, že uživatel měl infekci, často k tomu došlo několik minut po každém startu napadených počítačů. Jednoduché řešení k zastavení odpočítávání je spustit "shutdown -s" příkaz v příkazovém řádku Windows,^[11] což mělo vedlejší následky, jako například prázdný (bez uživatelů) welcome screen.^[12] Welchia červ měl podobný účinek. O několik měsíců později se vynořil červ Sasser, který způsoboval zobrazení podobných zpráv.

Reference

V tomto článku byl použit překlad textu z článku Blaster (computer worm) na anglické Wikipedii.

↑ CERT Advisory CA - 2003-20 W32/Blaster červ [online]. Cert.org [cit. 2010-09-23].
↑ Blaster worm author gets jail time [online]. infoworld, 28 January 2005 [cit. 2008-08-23]. Dostupné v archivu pořízeném dne 2009-01-22.
↑ Iain Thomson. FBI arrests 'stupid' Blaster.B suspect - V3.co.uk - formerly [online]. vnunet.com [cit. 2010-09-23]. Dostupné v archivu pořízeném dne 2007-09-27.
↑ MSBlast W32.Blaster.Worm / LovSan :: removal instructions [online]. Able2know.org, 2003-08-12 [cit. 2010-09-23]. Dostupné online.
↑ Microsoft Security Bulletin MS03-026. www.microsoft.com [online]. [cit. 2025-09-04]. Dostupné v archivu pořízeném z originálu dne 2005-02-25.
↑ Microsoft Security Bulletin MS03-039. www.microsoft.com [online]. [cit. 2025-09-04]. Dostupné v archivu pořízeném z originálu dne 2004-06-03.
↑ W32.Blaster.Worm [online]. Symantec [cit. 2010-09-23]. Dostupné online.
↑ W32.Blaster.Worm : Technical details [online]. symantec.com, December 9, 2003. Dostupné online.
↑ Why Blaster did not infect Windows Server 2003 - Michael Howard's Web Log - Site Home - MSDN Blogs [online]. Blogs.msdn.com, 2004-05-26 [cit. 2010-09-23]. Dostupné online.
↑ Blaster technical details - Trend Micro Threat Encyclopedia [online]. Trendmicro.com [cit. 2011-03-25]. Dostupné online.
↑ Blaster Worm-Virus or Its Variants Cause the Computer to Shutdown with an NT AUTHORITY\SYSTEM Error Message Regarding Remote Procedure Call (RPC) Service [online]. HP Customer Care [cit. 2014-02-03]. Dostupné v archivu pořízeném dne 2014-11-10.
↑ What is the Blaster Worm [online]. Techopedia [cit. 2013-02-14]. Dostupné online.

[1] CERT Advisory CA - 2003-20 W32/Blaster červ [online]. Cert.org [cit. 2010-09-23].

[infoworld-2] Blaster worm author gets jail time [online]. infoworld, 28 January 2005 [cit. 2008-08-23]. Dostupné v archivu pořízeném dne 2009-01-22.

[3] Iain Thomson. FBI arrests 'stupid' Blaster.B suspect - V3.co.uk - formerly [online]. vnunet.com [cit. 2010-09-23]. Dostupné v archivu pořízeném dne 2007-09-27.

[4] MSBlast W32.Blaster.Worm / LovSan :: removal instructions [online]. Able2know.org, 2003-08-12 [cit. 2010-09-23]. Dostupné online.

[5] Microsoft Security Bulletin MS03-026. www.microsoft.com [online]. [cit. 2025-09-04]. Dostupné v archivu pořízeném z originálu dne 2005-02-25.

[6] Microsoft Security Bulletin MS03-039. www.microsoft.com [online]. [cit. 2025-09-04]. Dostupné v archivu pořízeném z originálu dne 2004-06-03.

[7] W32.Blaster.Worm [online]. Symantec [cit. 2010-09-23]. Dostupné online.

[8] W32.Blaster.Worm : Technical details [online]. symantec.com, December 9, 2003. Dostupné online.

[9] Why Blaster did not infect Windows Server 2003 - Michael Howard's Web Log - Site Home - MSDN Blogs [online]. Blogs.msdn.com, 2004-05-26 [cit. 2010-09-23]. Dostupné online.

[10] Blaster technical details - Trend Micro Threat Encyclopedia [online]. Trendmicro.com [cit. 2011-03-25]. Dostupné online.

[11] Blaster Worm-Virus or Its Variants Cause the Computer to Shutdown with an NT AUTHORITY\SYSTEM Error Message Regarding Remote Procedure Call (RPC) Service [online]. HP Customer Care [cit. 2014-02-03]. Dostupné v archivu pořízeném dne 2014-11-10.

[12] What is the Blaster Worm [online]. Techopedia [cit. 2013-02-14]. Dostupné online.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

Blaster

Vznik a důsledky

Nežádoucí účinky

Reference

Portal di Ensiklopedia Dunia