Украинский Национальный Антивирус
Украинский Национальный Антивирус Украинский Национальный Антивирус Украинский Национальный Антивирус
Украинский Национальный Антивирус новости
украинский антивирусный центр
украинский антивирусный центр украинский антивирусный центр Новые продукты(3)

События(8)

Уязвимости ПО(10)

Новые вирусы(85)

Новости центра(73)

Новости сайта(4)

Все (183)


Пресс-центр

Antivirus UNA - check viruses online

 Экспорт новостей







     Подписка
      на новости УАЦ

12.08.2003 В глобальной сети появился червь Worm.Win32.MSBlast, использующий опасную уязвимость DCOM.

    Несколько недель назад была обнаружена опасная уязвимость, присутствующая во всех версиях операционных систем Windows 2000/XP. До сих пор данная "дыра" использовалась в основном хакерами и только сейчас появился полнофункциональный червь Worm.Win32.MSBlast, применяющий данную уязвимость. Опасность червя заключается в том, что для своего распространения он не использует каких либо серверов (как обычно делают почтовые черви), а распространяется напрямую между компьютерами, что сильно затрудняет централизованное подавление эпидемий. Единственное условие поражения: наличие уязвимости DCOM и доступ к компьютеру через NetBIOS. Таким образом, подавление эпидемии полностью зависит от сознательности рядовых пользователей и администраторов локальных сетей.

    Worm.Win32.MSBlast является Win32 приложением размером 6176 байт (приложение упаковано утилитой сжатия файлов UPX).

    После запуска червь создаёт ключ в реестре, необходимый для запуска червя при загрузке операционной системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
”windows auto update" = MSBLAST.EXE

    Далее MSBlaster создаёт Mutex "BILLY" в памяти компьютера, который применяется червём для проверки наличия в памяти своей копии. Если Мьютекс уже существует, то червь просто завершает свою работу. В противном случае червь засыпает на 20 секунд, после чего проверяет наличие доступа к сети Internet. Последняя операция повторяется до тех пор, пока соединение не будет обнаружено.

    После обнаружения подключения к глобальной сети червь проверяет системную дату. Если дата удовлетворяет указанному ниже условию, червь запускает нить, производящую DoS атаку на сервер windowsupdate.com. Условия для запуска DoS- атаки:

  • Каждое 16-е или 31-е число первых восьми месяцев года (Январь-Август);
  • Каждый день Сентября и Декабря.

    Для распространения червь пытается установить соединение с предполагаемой "жертвой" на порт 135 удалённой системы (NetBIOS), определяя наличие потенциально-уязвимой операционной системы Windows.

    Распространение при помощи уязвимости DCOM
    Червь ищет компьютеры в своей локальной сети и посылает пакеты, вызывающие переполнение буфера на удалённом компьютере и активизирующие код, содержащийся в пакете. Посылаемый код открывает порт 4444 и подключает к нему командную оболочку "cmd.exe" с правами LocalSystem. На исходном компьютере (с которого происходит распространение) червь открывает порт 69 и эмулирует на нём работу Trivial FTP сервера. Далее, используя открытую командную оболочку на удалённом поражённом компьютере, червь закачивает на него своё тело и копирует его в папку %WinDir%\System32, после чего червь активизируется на удалённом компьютере.


    Процедуры обнаружения и нейтрализации данного червя добавлены в базы "Украинского Национального Антивируса". Всем пользователям рекомендуется обновить антивирусные базы.

    Для устранения уязвимости и предотвращения попадания червя на компьютер всем пользователям рекомендуется установить заплатку на Windows: http://www.microsoft.com/security/security_bulletins/ms03-026.asp

главная - украинский антивирусный центр
© 1999-2003. Украинский Антивирусный Центр.
Украинский Национальный Антивирус ®
Правила использования материалов сайта
Una-Center

Украiнська

English