Blaster Worm hakkında

Darkface · 04-04-04, 22:50

Solucan'ın içerisinde aşağıdaki yazı bulunuyor (hiç görüntülenmiyor):
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software

Lovsan olarak da isimlendirilen solucan güncellemeleri yapılmamış Microsoft Windows NT, Windows 2000, Windows XP ve Windows Server 2003 işletim sistemlerinde etkili oluyor.
Hızlı yayılan internet-tabanlı solucanlar "Sistemlerin yamalarının geçilmesi ve anti-virüs ürünlerinin güncellenmesi"nin önemini bir kez daha vurguluyor.
W32/Blaster solucanı Microsoft'un DCOM RPC arabirimindeki bilinen bir açıktan (MS03-026) yararlanıyor.
Solucan port 135'i kullanarak sürekli olarak ağdaki sistemleri DCOM/RPC açığı için tarıyor. Sistem tarihi 15 ağustos olduğunda windowsupdate.com sitesine bir Servis Kullanımı Engelleme saldırısı gerçekleştiriyor.

Belirtileri:
W32.Blaster.Worm çalıştığında aşağıdaki işlemleri yapıyor:
1) BILLY isminde bir mutex yaratıyor. Eğer bu isimde bir mutex varsa solucan kendisini kapatıyor.
2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run registry anahtarına “windows auto update"="msblast.exe" değerini ekliyor.
3) A.B.C.0 şeklinde bir IP adresi yaratarak (genelde A ve B solucanın bulunduğu sistemin IP adresinin ilk iki octet i oluyor). C rastgele olarak yaratılıyor ve solucan A.B.C.0 IPsine aynı açıktan yararlanarak bulaşmaya çalışıyor. Sonrasında 0'ı 1 artırarak 254'e kadar sistemleri deniyor.
4) Denediği sistemin TCP port 135'ine DCOM RPC açığından yararlanmak için veri gönderiyor. Solucan iki tip deneme yapıyor, Windows XP ve Windows 2000 için.
Not: * Yerel subnet port 135 istekleri ile satüre hale geliyor.
* Deneme tipleri rastgele seçildiği için farklı veri gönderildiğinde sistemler çökebiliyor (2000'e XP denemesi yapılması gibi). Bu svchost.exe'nin hatalar yaratmasından anlaşılabilir.
* W32.Blaster.Worm Windows NT veya Windows 2003 sunucularında yayılamasa da eğer bu sistemlerden yaması geçilmemiş olanlar varsa solucanın denemeleri sonucunda çökebiliyorlar. Fakat solucan bu işletim sistemleri üzerine manuel olarak kopyalanıp çalıştırılırsa bu sistemlerden de yayılabiliyorlar.
5) Cmd.exe yi kullanarak TCP port 4444'ü dinleyen gizli bir (remote) shell işlemi başlatıyor. Bu sayede bir saldırgan uzaktan sistemde istediği komutları çalıştırabiliyor.
6) UDP port 69'u dinliyor. Eğer solucan DCOM RPC exploit'ini kullanarak bağlanabileceği bir bilgisayardan istek alırsa msblast.exe'yi o bilgisayara göndererek çalıstırmasını sağlıyor.
7) Eğer bulunulan ay Ağustos'tan sonra ise veya tarih 15'inden sonrası ise solucan Windows Update sitesine DoS (servis kullanımı engelleme) saldırısı gerçekleştiriyor. Solucan bu ayın 16'sında saldırıyı başlatacak ve yıl sonuna kadar devam edecek.
silmek için
http://www.microsoft.com/turkiye/download

ich_master · 08-05-04, 16:30

bu manyak bi worm yaa.adamlar yapmış...ama temizlemesi de bir o kadar kastırıyoo...

04-04-04, 22:50	#1
Darkface	Blaster Worm hakkında Solucan'ın içerisinde aşağıdaki yazı bulunuyor (hiç görüntülenmiyor): I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software Lovsan olarak da isimlendirilen solucan güncellemeleri yapılmamış Microsoft Windows NT, Windows 2000, Windows XP ve Windows Server 2003 işletim sistemlerinde etkili oluyor. Hızlı yayılan internet-tabanlı solucanlar "Sistemlerin yamalarının geçilmesi ve anti-virüs ürünlerinin güncellenmesi"nin önemini bir kez daha vurguluyor. W32/Blaster solucanı Microsoft'un DCOM RPC arabirimindeki bilinen bir açıktan (MS03-026) yararlanıyor. Solucan port 135'i kullanarak sürekli olarak ağdaki sistemleri DCOM/RPC açığı için tarıyor. Sistem tarihi 15 ağustos olduğunda windowsupdate.com sitesine bir Servis Kullanımı Engelleme saldırısı gerçekleştiriyor. Belirtileri: W32.Blaster.Worm çalıştığında aşağıdaki işlemleri yapıyor: 1) BILLY isminde bir mutex yaratıyor. Eğer bu isimde bir mutex varsa solucan kendisini kapatıyor. 2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run registry anahtarına “windows auto update"="msblast.exe" değerini ekliyor. 3) A.B.C.0 şeklinde bir IP adresi yaratarak (genelde A ve B solucanın bulunduğu sistemin IP adresinin ilk iki octet i oluyor). C rastgele olarak yaratılıyor ve solucan A.B.C.0 IPsine aynı açıktan yararlanarak bulaşmaya çalışıyor. Sonrasında 0'ı 1 artırarak 254'e kadar sistemleri deniyor. 4) Denediği sistemin TCP port 135'ine DCOM RPC açığından yararlanmak için veri gönderiyor. Solucan iki tip deneme yapıyor, Windows XP ve Windows 2000 için. Not: * Yerel subnet port 135 istekleri ile satüre hale geliyor. * Deneme tipleri rastgele seçildiği için farklı veri gönderildiğinde sistemler çökebiliyor (2000'e XP denemesi yapılması gibi). Bu svchost.exe'nin hatalar yaratmasından anlaşılabilir. * W32.Blaster.Worm Windows NT veya Windows 2003 sunucularında yayılamasa da eğer bu sistemlerden yaması geçilmemiş olanlar varsa solucanın denemeleri sonucunda çökebiliyorlar. Fakat solucan bu işletim sistemleri üzerine manuel olarak kopyalanıp çalıştırılırsa bu sistemlerden de yayılabiliyorlar. 5) Cmd.exe yi kullanarak TCP port 4444'ü dinleyen gizli bir (remote) shell işlemi başlatıyor. Bu sayede bir saldırgan uzaktan sistemde istediği komutları çalıştırabiliyor. 6) UDP port 69'u dinliyor. Eğer solucan DCOM RPC exploit'ini kullanarak bağlanabileceği bir bilgisayardan istek alırsa msblast.exe'yi o bilgisayara göndererek çalıstırmasını sağlıyor. 7) Eğer bulunulan ay Ağustos'tan sonra ise veya tarih 15'inden sonrası ise solucan Windows Update sitesine DoS (servis kullanımı engelleme) saldırısı gerçekleştiriyor. Solucan bu ayın 16'sında saldırıyı başlatacak ve yıl sonuna kadar devam edecek. silmek için http://www.microsoft.com/turkiye/download
	Alıntı Yaparak Cevapla

08-05-04, 16:30	#2
ich_master	Cvp: Blaster Worm hakkında bu manyak bi worm yaa.adamlar yapmış...ama temizlemesi de bir o kadar kastırıyoo...
	Alıntı Yaparak Cevapla

Konu Araçları
Çıktı Görüntüsünü Göster Sayfayı E-posta İle Yolla