جایگاه شما:
با کرم بلستر بیشتر آشنا شویم !
| نوشتار شماره: 248 / بازدید / نویسنده: خشایار صباغزاده | پیوند پایدار - |
مشترک RSS این وبلاگ شوید تا هیچ چیز را از دست ندهید.
/
این نوشتار را بوکمارک کنید:
کرم جدیدی که W32.Blaster
نا میده می شود طی روزهای اخیر بشدت گسترش و توانسته است تعدادی بسیار زیا
دی از کامپیوترها را آ لوده نماید . کرم فوق، دارای اسامی دیگری نظیر : W32/Lovsan.worm، WORM_MSBLAT.A و Win32.Posa.Worms می باشد.
تاریخ کشف : یازدهم اگوست ۲۰۰۳ . کامپیوترهائی که قبلا” از Patch امنیتی MS03-026 استفاده نموده اند در مقابل ویروس فوق، مصونیت خواهند داشت .
نحوه توزیع : توزیع کرم فوق، از طریق پورت های باز RPC انجام می شود . سیستم ها پس از آلودگی به ویروس فوق، راه اندازی مجدد شده و یا فایل msblase.exe بر روی آنان وجود خواهد داشت .
جرئیات فنی : RPC)Remote ProcedureCall) ، پروتکلی است که توسط سیستم عامل ویندوز استفاده می گردد . RPC ، یک مکانیزم ارتباطی را ارائه و این امکان را فراهم می نماید که برنامه در حال اجراء بر روی یک کامپیوتر قادر به اجراء کد موجود بر روی یک سیستم از راه دور گردد . پروتکل RPC از پروتکل OSF)Open Software Foundation) مشتق شده و مایکروسافت امکانات اضافه ای را به آن اضافه نموده است . در بخشی از پروتکل فوق یک نقطه آسیب پذیر وجود داشته که در ارتباط با پیام های مبادله شده بر روی TCP/IP است . مشکل بوجود آمده ناشی از عدم بررسی ( برخورد ) مناسب پیام های ناقص است . این ضعف امنیتی باعث تاثیرگذاری یک اینترفیس DCOM)Distributed Component Object Model) با RPC می گردد( گوش دادن به پورت های فعا ل RPC ). ایترفیس فوق ، باعث بررسی درخواست های فعال شی DCOM ارسال شده توسط ماشین سرویس گیرنده برای سرویس دهنده می گردد . یک مهاجم که امکان استفاده موفقیت آمیز از ضعف موجود را کسب نماید، قادر به اجراء کد با مجوزهای محلی سیستم بر روی یک سیستم آسیب پذیر ، خواهد بود. در چنین حالتی مهاجم ، قادر به انجام هر نوع عملیاتی بر روی سیستم خواهد بود . نصب برنامه ها ، مشاهده تغییرات ، حذف فایل ها و ایجاد account های جدید بهمراه تمامی مجوزهای مربوطه ، نمونه هائی در این رابطه می باشد .بمنظور استفاده از ضعف موجود، یک مهاجم درخواستی خاص بر روی کامپیوتر از راه دور و از طریق پورت های مشخص شده RPC را ارسال می نماید .
عملکرد ویروس :کرم بلستر ، بصورت تصادفی یک دامنه از آدرس های IP را پویش ( بررسی ) تا سیستم مورد نظر خود را برای آسیب رسانی از طریق پورت ۱۳۵ ، انتخاب نماید . کرم فوق ، از ضعف موجود در رابطه با DCOM RPC استفاده می نماید . ( اشاره شده در patch شماره MS03-026 ) . زمانیکه کد مربوطه برای سیستمی ارسال گردید در ادامه اقدام به download و اجرای فایل MSBLATE.EXE از یک سیستم راه دور و از طریق HTTP می نماید . پس از اجراء ، کلید ریجستری زیر ایجاد خواهد شد :
علائم آلودگی سیستم : برخی از کاربران ممکن است هیچگونه علائمی مبنی بر آلودگی سیستم خود را مشاهده ننمایند . در رابطه با کاربرانی که از سیستم ویندوز XP و یا Server 2003 استفاده می نمایند ، سیستم پس از لحظاتی و بدون اینکه کاربر عملیات خاصی را انجام دهد، راه اندازی مجدد می گردد . در رابطه با کاربرانی که از ویندوز NT 4.0 و یا ویندوز ۲۰۰۰ ، استفاده می نمایند ، سیستم رفتاری غیرپاسخگو را خواهد داشت ( عدم واکنش صحیح در رابطه با برخی از رویداد ها و ارائه خدمات طبیعی ) . کاربران در این رابطه ممکن است موارد زیر را نیز مشاهده نمایند :
وجود فایل های غیرمتعارف TFTP
وجود فایل msblast.exe در دایرکتوری WindowsSystem32
سیستم های آسیب پذیر : کاربرانی که دارای یکی از سیستم های زیر می باشند ، در معرض آلودگی خواهند بود :
ویندوز NT 4.0
ویندوز ۲۰۰۰
ویندوز XP
ویندوز ۲۰۰۳
سیستم های مصون : در صورتیکه وجود شرایط زیر ، کامپیوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود :
در صورتیکه از ویندوز ۹۵ ، ۹۸ ، SE و یا ME استفاده می گردد .
در صورتیکه patch امنیتی اشاره شده در MS03-026 بر روی سیستم نصب شده باشد .
تاریخ کشف : یازدهم اگوست ۲۰۰۳ . کامپیوترهائی که قبلا” از Patch امنیتی MS03-026 استفاده نموده اند در مقابل ویروس فوق، مصونیت خواهند داشت .
نحوه توزیع : توزیع کرم فوق، از طریق پورت های باز RPC انجام می شود . سیستم ها پس از آلودگی به ویروس فوق، راه اندازی مجدد شده و یا فایل msblase.exe بر روی آنان وجود خواهد داشت .
جرئیات فنی : RPC)Remote ProcedureCall) ، پروتکلی است که توسط سیستم عامل ویندوز استفاده می گردد . RPC ، یک مکانیزم ارتباطی را ارائه و این امکان را فراهم می نماید که برنامه در حال اجراء بر روی یک کامپیوتر قادر به اجراء کد موجود بر روی یک سیستم از راه دور گردد . پروتکل RPC از پروتکل OSF)Open Software Foundation) مشتق شده و مایکروسافت امکانات اضافه ای را به آن اضافه نموده است . در بخشی از پروتکل فوق یک نقطه آسیب پذیر وجود داشته که در ارتباط با پیام های مبادله شده بر روی TCP/IP است . مشکل بوجود آمده ناشی از عدم بررسی ( برخورد ) مناسب پیام های ناقص است . این ضعف امنیتی باعث تاثیرگذاری یک اینترفیس DCOM)Distributed Component Object Model) با RPC می گردد( گوش دادن به پورت های فعا ل RPC ). ایترفیس فوق ، باعث بررسی درخواست های فعال شی DCOM ارسال شده توسط ماشین سرویس گیرنده برای سرویس دهنده می گردد . یک مهاجم که امکان استفاده موفقیت آمیز از ضعف موجود را کسب نماید، قادر به اجراء کد با مجوزهای محلی سیستم بر روی یک سیستم آسیب پذیر ، خواهد بود. در چنین حالتی مهاجم ، قادر به انجام هر نوع عملیاتی بر روی سیستم خواهد بود . نصب برنامه ها ، مشاهده تغییرات ، حذف فایل ها و ایجاد account های جدید بهمراه تمامی مجوزهای مربوطه ، نمونه هائی در این رابطه می باشد .بمنظور استفاده از ضعف موجود، یک مهاجم درخواستی خاص بر روی کامپیوتر از راه دور و از طریق پورت های مشخص شده RPC را ارسال می نماید .
عملکرد ویروس :کرم بلستر ، بصورت تصادفی یک دامنه از آدرس های IP را پویش ( بررسی ) تا سیستم مورد نظر خود را برای آسیب رسانی از طریق پورت ۱۳۵ ، انتخاب نماید . کرم فوق ، از ضعف موجود در رابطه با DCOM RPC استفاده می نماید . ( اشاره شده در patch شماره MS03-026 ) . زمانیکه کد مربوطه برای سیستمی ارسال گردید در ادامه اقدام به download و اجرای فایل MSBLATE.EXE از یک سیستم راه دور و از طریق HTTP می نماید . پس از اجراء ، کلید ریجستری زیر ایجاد خواهد شد :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersion
Run “windows auto update” = msblast.exe I just want to say LOVE YOU SAN!! bill
Run “windows auto update” = msblast.exe I just want to say LOVE YOU SAN!! bill
علائم آلودگی سیستم : برخی از کاربران ممکن است هیچگونه علائمی مبنی بر آلودگی سیستم خود را مشاهده ننمایند . در رابطه با کاربرانی که از سیستم ویندوز XP و یا Server 2003 استفاده می نمایند ، سیستم پس از لحظاتی و بدون اینکه کاربر عملیات خاصی را انجام دهد، راه اندازی مجدد می گردد . در رابطه با کاربرانی که از ویندوز NT 4.0 و یا ویندوز ۲۰۰۰ ، استفاده می نمایند ، سیستم رفتاری غیرپاسخگو را خواهد داشت ( عدم واکنش صحیح در رابطه با برخی از رویداد ها و ارائه خدمات طبیعی ) . کاربران در این رابطه ممکن است موارد زیر را نیز مشاهده نمایند :
وجود فایل های غیرمتعارف TFTP
وجود فایل msblast.exe در دایرکتوری WindowsSystem32
سیستم های آسیب پذیر : کاربرانی که دارای یکی از سیستم های زیر می باشند ، در معرض آلودگی خواهند بود :
ویندوز NT 4.0
ویندوز ۲۰۰۰
ویندوز XP
ویندوز ۲۰۰۳
سیستم های مصون : در صورتیکه وجود شرایط زیر ، کامپیوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود :
در صورتیکه از ویندوز ۹۵ ، ۹۸ ، SE و یا ME استفاده می گردد .
در صورتیکه patch امنیتی اشاره شده در MS03-026 بر روی سیستم نصب شده باشد .
کامپیوتر و اینترنت
