Cevapla
 
Konu Araçları
Eski 04-04-04, 22:50 #1
Darkface Darkface çevrimdışı
Varsayılan Blaster Worm hakkında

Solucan'ın içerisinde aşağıdaki yazı bulunuyor (hiç görüntülenmiyor):
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software

Lovsan olarak da isimlendirilen solucan güncellemeleri yapılmamış Microsoft Windows NT, Windows 2000, Windows XP ve Windows Server 2003 işletim sistemlerinde etkili oluyor.
Hızlı yayılan internet-tabanlı solucanlar "Sistemlerin yamalarının geçilmesi ve anti-virüs ürünlerinin güncellenmesi"nin önemini bir kez daha vurguluyor.
W32/Blaster solucanı Microsoft'un DCOM RPC arabirimindeki bilinen bir açıktan (MS03-026) yararlanıyor.
Solucan port 135'i kullanarak sürekli olarak ağdaki sistemleri DCOM/RPC açığı için tarıyor. Sistem tarihi 15 ağustos olduğunda windowsupdate.com sitesine bir Servis Kullanımı Engelleme saldırısı gerçekleştiriyor.

Belirtileri:
W32.Blaster.Worm çalıştığında aşağıdaki işlemleri yapıyor:
1) BILLY isminde bir mutex yaratıyor. Eğer bu isimde bir mutex varsa solucan kendisini kapatıyor.
2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run registry anahtarına “windows auto update"="msblast.exe" değerini ekliyor.
3) A.B.C.0 şeklinde bir IP adresi yaratarak (genelde A ve B solucanın bulunduğu sistemin IP adresinin ilk iki octet i oluyor). C rastgele olarak yaratılıyor ve solucan A.B.C.0 IPsine aynı açıktan yararlanarak bulaşmaya çalışıyor. Sonrasında 0'ı 1 artırarak 254'e kadar sistemleri deniyor.
4) Denediği sistemin TCP port 135'ine DCOM RPC açığından yararlanmak için veri gönderiyor. Solucan iki tip deneme yapıyor, Windows XP ve Windows 2000 için.
Not: * Yerel subnet port 135 istekleri ile satüre hale geliyor.
* Deneme tipleri rastgele seçildiği için farklı veri gönderildiğinde sistemler çökebiliyor (2000'e XP denemesi yapılması gibi). Bu svchost.exe'nin hatalar yaratmasından anlaşılabilir.
* W32.Blaster.Worm Windows NT veya Windows 2003 sunucularında yayılamasa da eğer bu sistemlerden yaması geçilmemiş olanlar varsa solucanın denemeleri sonucunda çökebiliyorlar. Fakat solucan bu işletim sistemleri üzerine manuel olarak kopyalanıp çalıştırılırsa bu sistemlerden de yayılabiliyorlar.
5) Cmd.exe yi kullanarak TCP port 4444'ü dinleyen gizli bir (remote) shell işlemi başlatıyor. Bu sayede bir saldırgan uzaktan sistemde istediği komutları çalıştırabiliyor.
6) UDP port 69'u dinliyor. Eğer solucan DCOM RPC exploit'ini kullanarak bağlanabileceği bir bilgisayardan istek alırsa msblast.exe'yi o bilgisayara göndererek çalıstırmasını sağlıyor.
7) Eğer bulunulan ay Ağustos'tan sonra ise veya tarih 15'inden sonrası ise solucan Windows Update sitesine DoS (servis kullanımı engelleme) saldırısı gerçekleştiriyor. Solucan bu ayın 16'sında saldırıyı başlatacak ve yıl sonuna kadar devam edecek.
silmek için
http://www.microsoft.com/turkiye/download
__________________
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Eski 08-05-04, 16:30 #2
ich_master ich_master çevrimdışı
Varsayılan Cvp: Blaster Worm hakkında


bu manyak bi worm yaa.adamlar yapmış...ama temizlemesi de bir o kadar kastırıyoo...
  Alıntı Yaparak CevaplaAlıntı Yaparak Cevapla
Cevapla

Bu konunun kısa yolunu aşağıdaki sitelere ekleyebilirsiniz

Konu Araçları

Gönderme Kuralları
Yeni konu açamazsınız
Cevap yazamazsınız
Dosya gönderemezsiniz
Mesajlarınızı düzenleyemezsiniz

BB code is Açık
Smiley Açık
[IMG] kodu Açık
HTML kodu Kapalı



Tüm saatler GMT +3. Şuan saat: 18:32
(Türkiye için artık GMT +3 seçilmelidir.)

 
5651 sayılı yasaya göre forumumuzdaki mesajlardan doğabilecek her türlü sorumluluk yazan kullanıcılara aittir. Şikayet Mailimiz. İçerik, Yer Sağlayıcı Bilgilerimiz. Reklam Mailimiz. Gizlilik Politikası. Tatil
Copyright © 2019