|
Az utóbbi napok egyik legnagyobb számítástechnikai rémületét okozta a W32.Blaster.Worm nevű féreg, amely Windows NT alapú rendeszereket támad meg. Lássuk miről is van szó!
Már hónapok óta ismert az a biztonsági rés, amelyet ez a féreg kihasznál. A hiba az RPC interfészben van. A Microsoft a következőket írja erről:
A Távoli eljáráshívás (RPC) egy a Windows operációs rendszer által használt protokoll. Az RPC olyan, folyamatok közötti kommunikációs mechanizmust biztosít, amely lehetővé teszi, hogy a programok zökkenőmentesen kódot futtathassanak egy távoli számítógépen. Maga a protokoll a Nyitott Szoftver Alapítvány (Open Software Foundation, OSF) RPC protokolljából származik. A Windows által használt RPC protokoll Microsoft-specifikus bővítményeket is tartalmaz.
Az RPC protokollnak a TCP/IP protokollon keresztüli üzenetváltást kezelő részében biztonsági rés található. A hiba a helytelenül formázott üzenetek nem megfelelő kezeléséből ered. Ez a bizonyos biztonsági rés az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) és az RPC közötti illesztőfelületet érinti, amely a 135-ös TCP/IP portot figyeli. A felület az ügyfélszámítógépek által a kiszolgálónak küldött DCOM-objektumaktiválási kéréseket kezeli (például univerzális elnevezési konvenció [UNC] szerinti elérési utak).
Az érintett operációs rendszerek:
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition
A probléma abból ered, ha valaki direkt generál ilyen helytelenül formázott üzeneteket. Ilyen tevékenységet hajt végre ez a féregprogram.
A VirusBuster honlapjának információi szerint:
A megtámadott számítógépre érkező csomag buffer túlcsordulási hibát idéz elő, aminek révén a vírus egy rövid, letöltő komponense fut le. Ez letölti a csomagot küldő gépről a tfpt protokollt használva a 6176 bájt hosszúságú teljes vírust, felmásolja a számítógépre msblast.exe néven, majd elindítja.
A regisztrációs adatbázisban a
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
kulcs alatt bejegyzi a
"windows auto updatemsblast.exe"
értéket így rendszerindításkor automatikusan elindul.
Ezután végtelen ciklusban véletlen IP címeket generál, és azokra továbbküldi magát azok 135-ös portjára.
Ha a lefutáskor az aktuális hónap augusztusnál későbbi, vagy pedig a nap 15-nél nagyobb, akkor a féreg csomagokkal árasztja el a windowsupdate.com weboldalt.
A féreg az alábbi, futás során meg nem jelenített üzeneteket tartalmazza:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
A felhasználók mindebből annyit vesznek észre, hogy egy kis ablak ugrik elő a következő üzenettel:
60 másodperc elteltével a számítógép újraindul.
A lehetséges megoldások a következők:
Töltsünk le egy olyan programot, amely eltávolítja ezt a vírust. Ilyen például a Symantec által készített FixBlast nevű szoftver, amely letölthető ide kattintva.
Némileg nagyobb gyakorlatot igényel az a változat, miszerint töröljük le a feltelepített programot és távolítsuk el a registry-ből a beírt bejegyzést, de ugyanúgy működik.
Mindenképpen szükség van a biztonsági rést befoltozó javító patch letöltésére. Erre magyar nyelvű WindowsXP esetén lehetőség van a www.drivers.hu oldalról, egyéb operációs rendszerek esetében keressük fel a Microsoft honlapját!
|
