کرم جدیدی که W32.Blaster
نا میده می شود طی روزهای اخیر بشدت گسترش و توانسته است تعدادی بسیار زیا
دی از کامپیوترها را آ لوده نماید . کرم فوق، دارای اسامی دیگری نظیر : W32/Lovsan.worm، WORM_MSBLAT.A و Win32.Posa.Worms می باشد.
تاریخ کشف : یازدهم اگوست 2003 . کامپیوترهائی که قبلا” از Patch امنیتی MS03-026 استفاده نموده اند در مقابل ویروس فوق، مصونیت خواهند داشت .
نحوه توزیع : توزیع کرم فوق، از طریق پورت های باز RPC انجام می شود . سیستم ها پس از آلودگی به ویروس فوق، راه اندازی مجدد شده و یا فایل msblase.exe بر روی آنان وجود خواهد داشت .
جرئیات فنی : RPC)Remote ProcedureCall) ، پروتکلی است که توسط سیستم عامل ویندوز استفاده می گردد . RPC
، یک مکانیزم ارتباطی را ارائه و این امکان را فراهم می نماید که برنامه
در حال اجراء بر روی یک کامپیوتر قادر به اجراء کد موجود بر روی یک سیستم
از راه دور گردد . پروتکل RPC از پروتکل OSF)Open Software Foundation)
مشتق شده و مایکروسافت امکانات اضافه ای را به آن اضافه نموده است . در
بخشی از پروتکل فوق یک نقطه آسیب پذیر وجود داشته که در ارتباط با پیام
های مبادله شده بر روی TCP/IP است . مشکل بوجود آمده ناشی از عدم بررسی ( برخورد ) مناسب پیام های ناقص است . این ضعف امنیتی باعث تاثیرگذاری یک اینترفیس DCOM)Distributed Component Model) با RPC می گردد( گوش دادن به پورت های فعا ل RPC ). ایترفیس فوق ، باعث بررسی درخواست های فعال شی DCOM
ارسال شده توسط ماشین سرویس گیرنده برای سرویس دهنده می گردد . یک مهاجم
که امکان استفاده موفقیت آمیز از ضعف موجود را کسب نماید، قادر به اجراء
کد با مجوزهای محلی سیستم بر روی یک سیستم آسیب پذیر ، خواهد بود. در چنین
حالتی مهاجم ، قادر به انجام هر نوع عملیاتی بر روی سیستم خواهد بود . نصب
برنامه ها ، مشاهده تغییرات ، حذف فایل ها و ایجاد account
های جدید بهمراه تمامی مجوزهای مربوطه ، نمونه هائی در این رابطه می باشد
.بمنظور استفاده از ضعف موجود، یک مهاجم درخواستی خاص بر روی کامپیوتر از
راه دور و از طریق پورت های مشخص شده RPC را ارسال می نماید .
عملکرد ویروس :کرم بلستر ، بصورت تصادفی یک دامنه از آدرس های IP
را پویش ( بررسی ) تا سیستم مورد نظر خود را برای آسیب رسانی از طریق پورت
135 ، انتخاب نماید . کرم فوق ، از ضعف موجود در رابطه با DCOM RPC استفاده می نماید . ( اشاره شده در patch شماره MS03-026 ) . زمانیکه کد مربوطه برای سیستمی ارسال گردید در ادامه اقدام به download و اجرای فایل MSBLATE.EXE از یک سیستم راه دور و از طریق HTTP می نماید . پس از اجراء ، کلید ریجستری زیر ایجاد خواهد شد :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersion
Run “windows auto update” = msblast.exe I just want to say LOVE YOU SAN!! bill
علائم آلودگی سیستم : برخی از کاربران ممکن است هیچگونه علائمی مبنی بر آلودگی سیستم خود را
مشاهده ننمایند . در رابطه با کاربرانی که از سیستم ویندوز XP و یا Server 2003
استفاده می نمایند ، سیستم پس از لحظاتی و بدون اینکه کاربر عملیات خاصی
را انجام دهد، راه اندازی مجدد می گردد . در رابطه با کاربرانی که از
ویندوز NT 4.0 و
یا ویندوز 2000 ، استفاده می نمایند ، سیستم رفتاری غیرپاسخگو را خواهد
داشت ( عدم واکنش صحیح در رابطه با برخی از رویداد ها و ارائه خدمات طبیعی
) . کاربران در این رابطه ممکن است موارد زیر را نیز مشاهده نمایند :
وجود فایل های غیرمتعارف TFTP
وجود فایل msblast.exe در دایرکتوری WindowsSystem32
سیستم های آسیب پذیر : کاربرانی که دارای یکی از سیستم های زیر می باشند ، در معرض آلودگی خواهند بود :
ویندوز NT 4.0
ویندوز 2000
ویندوز XP
ویندوز 2003
سیستم های مصون : در صورتیکه وجود شرایط زیر ، کامپیوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود :
در صورتیکه از ویندوز 95 ، 98 ، SE و یا ME استفاده می گردد .
در صورتیکه patch امنیتی اشاره شده در MS03-026 بر روی سیستم نصب شده باشد .
نوشته های دیگران () نویسنده متن فوق: » کهکشان ( دوشنبه 88/7/13 :: ساعت 3:29 عصر )
