Amitől féltünk: súlyos Windows hibát kihasználó féreg terjed

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 11.
Védekezés elkészültének ideje: 2003. augusztus 12.
Veszélyeztetett operációs rendszerek: Windows 2k/XP
Nem érintett operációs rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 6.176 byte
Fertőzések száma: több mint 1000
Földrajzi elterjedtsége: magas
Károkozás mértéke: közepes
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a BILLY nevű mutexet, hogy megakadályozza a memóriába való többszöri bekerülését
– hozzáadja a windows auto update=msblast.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– az esetek 40 százalékában a következőképp hoz létre egy IP-címet:
. a host IP A.B.C.D, ahol D értéke 0 lesz
. amennyiben C nagyobb, mint 20, kivon belőle egy 20-nál kisebb véletlenszámot
. amennyiben létrehozta az IP-címet, megkísérli az ezen található számítógépen kihasználni az RPC hibát, majd mindig egyet hozzáadva az IP-cím utolsó számához, újabb és újabb számítógépekkel próbálkozik
– az esetek 40 százalékában a következőképp hoz létre egy IP-címet:
. a host IP A.B.C.D, ahol D értéke 0 lesz
. A, B, C értékét egy 0 és 255 közé eső véletlenszámként hozza létre

A támadás folyamata

– a 135-ös TCP porton keresztül elküld egy olyan adatcsomagot, mellyel ki tudja használni a kevesebb mint egy hónapja ismertetett Windows RPC hibát (néha olyan adatot küldhet a célszámítógépnek, amitől annak rendszere összeomolhat)
– létrehozza a rejtett Cmd.exe állományt, mely a 4444-es TCP porton hallgatózik
– a 69-es UDP porton hallgatózik; ha kérelmet kap, parancsot küld a távoli számítógépnek a fertőzött gazdagéppel való kapcsolat újrafelvételére, ahonnan letölti és futtatja az Msblast.exe állományt
– ha az aktuális dátum augusztus, vagy a jelenlegi dátum a hónap 15-e utáni, a féreg DoS-támadást kísérel meg a Windows Update website-ja ellen
– a féreg a következő szöveget tartalmazza, melyet sosem jelenít meg:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!