Prim Hírek

Microsoft Security Bulletin MS03-026 Security Update for Microsoft Windows
A RPC felület puffer túlcsordulása lehetőséget ad a rendszer támadására, kódok futtatására. (Eredeti cikk: 2003. július., Felülvizsgálat: 2003. augusztus 12)

Érintett rendszerek:
Microsoft Windows NTŽ 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server" 2003
Nem érintett rendszer:
Microsoft Windows Millennium Edition
Veszélyességi mutató:
Windows NT 4.0 kritikus
Windows NT 4.0 Terminal Server Edition kritikus
Windows 2000 kritikus
Windows XP kritikus
Windows Server 2003 kritikus
A hiba meghatározás a „Common Vulnerabilities and Exposures" alapján: CAN-2003-0352

Összesítve: a hibáról megjelent írások:

Publikálás napja: 07/16/2003
Első publikálás ideje: 07/16/2003 10:44:31 PM
Utolsó revízió: 08/08/2003

Besorolások:
CERT Advisory CA-2003-16
CVE Name CAN-2003-0352

Leírások, elemzések:
CERT/CC Advisory CA-2003-19
CERT/CC Vulnerability Note VU#561284
CERT/CC Vulnerability Note VU#326746-
Microsoft Security Bulletin MS03-026
Microsoft Knowledge Base article 823980 (tudásbázis)
DCOM összetevő az alábbi portokon támadható: TCP/IP port 69/UDP, 135/TCP, 135/UDP, 139/TCP, 139/UDP, 445/TCP, 445/UDP, 593/TCP, 1086/TCP, 4444/TCP
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition
Windows Server 2003 32 bit Edition
Windows Server 2003 64 bit Edition
A rendszerek frissítései, hibajavítói letölthetők a Microsoft Security Bulletin MS03-026 – ról.
Microsoft Security Bulletin MS03-026 revíziói:
V1.0 (July 16, 2003): Bulletin Created.
V1.1 (July 18, 2003): Mitigating factors and Workaround section updated to reflect additional ports.
V1.2 (July 21, 2003): Added Windows XP gold patch verification registry key.
V1.3 (July 27, 2003): Updated Workaround section to include additonal information about how to disable DCOM.
V1.4 (August 12, 2003): Updated to include information about Windows 2000 Service Pack 2 support for this patch and updated bulletin with additonal workaround information.

July 16, 2003. július.16
(megjegyzés: akkor a féreg még ismeretlen volt)

A hiba leírása:
MS03-026: Az RPC-felület puffertúlcsordulása programkód végrehajtására adhat lehetőséget. A cikkben található információ a következő(k)re vonatkozik:
Igen rövid idő alatt megvizsgálták a rendszereket, és egyértelműen veszélyeztetettnek az alábbiakat minősítették:

Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition

A Távoli eljáráshívás (RPC) egy a Windows operációs rendszer által használt protokoll. Az RPC olyan, folyamatok közötti kommunikációs mechanizmust biztosít, amely lehetővé teszi, hogy a programok zökkenőmentesen kódot futtathassanak egy távoli számítógépen. Maga a protokoll a Nyitott Szoftver Alapítvány (Open Software Foundation, OSF) RPC protokolljából származik. A Windows által használt RPC protokoll Microsoft-specifikus bővítményeket is tartalmaz.

Az RPC protokollnak a TCP/IP protokollon keresztüli üzenetváltást kezelő részében biztonsági rés található. A hiba a helytelenül formázott üzenetek nem megfelelő kezeléséből ered. Ez a bizonyos biztonsági rés az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) és az RPC közötti illesztő felületet érinti, amely a 135-ös TCP/IP portot figyeli. A felület az ügyfélszámítógépek által a kiszolgálónak küldött DCOM-objektum aktiválási kéréseket kezeli (például univerzális elnevezési konvenció [UNC] szerinti elérési utak). A hiba kihasználásához a támadónak speciálisan formázott kérést kell küldenie a távoli számítógépnek a 135-ös porton.

A biztonsági rés kiaknázásához a támadónak képesnek kell lennie speciálisan kialakított kérést küldeni a távoli számítógép 135-ös portjára. Intranetes környezetben ez a port általában elérhető, az internethez csatlakozó számítógépeknél azonban a 135-ös portot rendszerint blokkolja a tűzfal. Amennyiben a port nincs blokkolva, illetve intranetes környezetben a támadónak nincs szüksége semmilyen egyéb jogosultságra. Gyakorlati tanácsként azt ajánljuk, hogy az összes éppen nem használt TCP/IP portot blokkolja. A tanácsokat szem előtt tartva a legtöbb internethez csatlakozó számítógépen a 135-ös portot blokkolni kell. A TCP-n keresztüli RPC-t nem veszélyes környezetben (mint például az internet) való használatra tervezték. Ilyen környezetekben biztonságosabb protokollokat kell használni (például RPC HTTP-n keresztül).

A javítás:
A biztonsági rés javításához a fájlok letölthetők a Microsoft Download Center webhelyről (vagy innen, a lapról):

A következő rendszerleíró kulcs meglétének ellenőrzésével megállapíthatja, hogy a biztonsági javítást már telepítették-e:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NNNN\SPx\KB823980.

A rendszergazdák a biztonsági javítás eltávolításához a Spunist.exe segédprogramot is használhatják. A Spuninst.exe segédprogram a %Windir%\$NTUninstallKB823980$\Spuninst mappában található.
A kiadás dátuma: 16.07.03

Ezek a megoldások ideiglenes jellegűek, csak a támadási lehetőség blokkolására szolgálnak, magát a hibát nem szüntetik meg. A következő részekben a számítógép támadás elleni védelmére használható információkat talál. Mindegyik rész a használható megoldásokat írja le a számítógép konfigurációjától és a szükséges szolgáltatási szinttől függően. A 135-ös port blokkolása a tűzfalon: A 135-ös port távoli számítógéppel létesített RPC-kapcsolat kezdeményezésére használatos. A tűzfalon a 135-ös portot letiltva megelőzheti a tűzfal mögött lévő rendszerek elleni, ezt a biztonsági rést kihasználni próbáló támadásokat. Internetkapcsolat tűzfala: Amennyiben Windows XP vagy Windows Server 2003 rendszerben az internetkapcsolat tűzfala szolgáltatást használja az internetkapcsolat védelmére, a szolgáltatás alapértelmezés szerint blokkolja az internetről érkező bejövő RPC-adatforgalmat. A DCOM letiltása az összes veszélyeztetett számítógépen: Ha a számítógép egy hálózat része, a DCOM protokoll lehetővé teszi, hogy a számítógépen lévő COM-objektumok más gépeken található COM-objektumokkal kommunikáljanak.

A biztonsági rés elleni védekezésül letilthatja a DCOM szolgáltatást egy bizonyos számítógépnél, ezzel azonban meggátol minden kommunikációt az adott számítógépen és a többi gépen lévő objektumok között. Amennyiben egy távoli számítógépen tiltja le a DCOM-ot, ezután nem érheti el azt távolról a DCOM újraengedélyezéséhez. A szolgáltatás ismételt engedélyezéséhez fizikailag hozzá kell férnie az illető géphez. A DCOM manuális engedélyezése (vagy tiltása) egy számítógépen: Futtassa a Dcomcnfg.exe programot. A Windows XP vagy a Windows Server 2003 használata esetén nem így kell elvégezni).

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a cikk elején felsorolt Microsoft-termékeknél.

További Információ: A biztonsági résről a Microsoft következő webhelyén talál további információt:

Az RPC szolgáltatás ügyfél- és kiszolgáló számítógépeken való biztonságossá tételével kapcsolatos további tudnivalókért keresse fel a következő Microsoft webhelyet:

Az RPC szolgáltatás által használt portokra vonatkozóan a Microsoft következő webhelyén talál információt.
Utoljára módosítva: 2003. 07. 22.

A hiba megjelenésekor a következő cikk jelent meg a www.gyik.com-on:
Az utóbbi napokban sok vita folyik – több helyen, fórumon – a hackerekről. Az alapelv a „nil nocere" (ne árts) mellett kiemelt szerepet kap szemléletükben a hibák felkutatása, és azok visszajelzése. Ezek a hibák lehetnek a Hálózaton, de lehetnek operációs rendszerekben is. Kiváló példa az utóbbira a W2k RPC DCOM hibája, amit csak igen kevesen ismernek. Megfelelő kísérletek után megbizonyosodtak a hibáról, a visszajelzés a gyártó felé megtörtént. Lapunk magyarul elsőként közli a hibát, azzal a kóddal együtt, mely alkalmazása kiválthatja azt. Külön kérünk mindenkit, hogy ne kísérletezzen – saját rendszeren saját felelősségre sem – lehet, hogy nem működik, vagy kárt okozhat.

1.Leírás:

A W2K RPC azon részében van egy hiba a, mely a TCP/IP csomagkezeléssel foglalkozik. A hibát az jelenti, hogy a rendszer rosszul kezeli a hibás/sérült csomagokat.

Egy üzenet küldésével a DCOM __RemoteGetClassObject kezelőre az RPC szolgáltatás leáll, és minden erre a szolgáltatásra épülő alkalmazás megbénul. Az oka ennek az, hogy a DCOM __RemoteGetClassObject egy NULL értéket ad át a PerformScmStage függvénynek. Ha a támadó felhasználó a rendszeren akkor átveheti az irányítást az epmapper és a 135 port felett a vezérlést az RPC össze omlása után. Gyakorlatilag megegyezik a Microsoft leírásával...

Programhibák miatt írják a férgeket? (Page 1 of 3)

Az elmúlt időszakban több olyan féreggel találkozhattunk, amelyik egy - egy programhibát kihasználva próbálja meg kifejteni "áldásos" tevékenységét. Nem keresgéltem sokáig, szinte azonnal előbukkantak a férgek, amelyek a Windows verziók biztonsági réseit kihasználva jutnak be a rendszerbe. Ezek a féregkódok felfoghatók úgy is, mint egy sokféle tulajdonsággal felvértezett rosszindulatú kód (exploit), egy több funkcióra képes rosszindulatú kód (muftifunkciós exploit), amire jellemző a számítógépes kártevők összes tulajdonsága. "Az a kérdés, hogy a programhibák miatt írják a férgeket, vagy viszont", még egészséges paranoiánkból fakad.

Kezdhettem volna a "nagy legendával", a Slammerrel, de éppen e miatt nem teszem. Mint programhiba, és féreginvázió közötti összefüggés példaként mindenhol az szerepel, adjunk tehát teret más férgeknek, hátha vannak.

Microsoft Windows 2000 egy alkalmazásának DOS és Jogosultság kezelési hibája - írták a lapok, és én is hetekkel ezelőtt. A portál, ahol a "bizonyos" hibáról szóló írásom megjelent nyitottságáról, és nyíltságáról ismert olvasói előtt. Ez volt az egyetlen magyar IT lap, ahol a hír, és a rosszindulatú kód algoritmusa megjelent. Ez volt a W2k RPC DCOM hibája, amit akkor csak igen kevesen ismertek. A hiba a W2K RPC azon részében van, mely a TCP/IP csomagkezeléssel foglalkozik. A hibát az jelenti, hogy a rendszer rosszul kezeli a hibás/sérült csomagokat. Egy üzenet küldésével a DCOM __RemoteGetClassObject kezelőre az RPC szolgáltatás leáll, és minden erre a szolgáltatásra épülő alkalmazás megbénul...

Nem sokkal megjelenése után olvashattuk a szaklapokban:

A néhány nappal ezelőtt ismerté vált RPC hiba kerül középpontba, mert megírták a hibát teljesen kihasználó trójai férget, féregprogramot.

A vírus neve : Troj/Autoroot-A
Más elnevezései: Troj/IRCBot-G, Troj/ExplDCOM-A and Troj/ExplDCOM-B
A vírus típusa : Trójai program
Dátum : 2003. augusztus 5.
Mérete: 14.168 byte
A fertőzéskor a következő folyamatok indulnak el:
Hozzáadja a CSRSWIN=[a file elérési útvonala] bejegyzést a következő két Registry kulcshoz:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
A HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CSRSWIN Registry kulcs alatt található meg az a service, melyet létrehoz az alábbi karakterisztikával:
Display Name=CSRS Windows NT
Service Name=CSRSWIN
Description=CSRS Windows NT
Megnyitja a 8719-es portot és távoli parancsokra várakozik

A Troj/Autoroot-A megkísérli kihasználni az ismert Microsoft's DCOM RPC interface hibáját és így utat nyitni a fenti porton - a Troj/IRCBot-G féregnek, hogy átvehesse az irányítást a megtámadott számítógép felett A Microsoft által kibocsátott patch megszüntetti ezt a sebezhetőséget. A patch elérhető a Microsoft Bulletin weboldalán.

Miután az exploitokat, a kártékony futtatható kódokat ismerem, megszereztem a féreg kódját. Erre mondják teljes joggal, hogy „míves munka". Bár a megírását ártó szándék vezette, de mint munkának az elismerés jár. Három állományból van, mindhárom egy fájlba csomagolt. (scan, serv, vdcom) Feljutva a gépre mikor a kód megkezdi futását végrehajtja a fent jelzett folyamatokat. Miért „ mert a féreg az exploitok tökéletesített, és egyéb funkciókkal ellátott fejlesztése „ nem zárom ki, hogy írójuknak köze van egymáshoz. (A kód kimásolása tilos, szerzői jogvédelem alatt áll. Ha valaki mégis megteszi, más gép ellen nem használhatja, kimásolva a vizsgálatból eredő kárért felelősség csak őt terheli)

/* RPC DCOM WORM v 2.2 – részlet
Ezután „kissé" felgyorsultak az események – detektálták a Mimail férget, melyről a szaklapok azt írták megjelenésekor, hogy ilyen gyors terjedésű féreggel nem találkoztak – nem gondolva arra, hogy ez napok múlva megdöntött rekord lesz.
A vírus neve: W32/Mimail-A
A vírus típusa: Win32-es féreg
Dátum: 2003. augusztus 1.

W32/Mimail-A féreg az alábbi jelmezőkkel érkezik
Subject line: your account
Message text:
Hello there, I would like to inform you about important information
regarding your email address. This email address will be expiring.
Please read attachment for details.
---
Best regards, Administrator
Attached file: message.zip
Ha el kezd futni, a féreg bemásolja magát a
C:\\exe.tmp
és
C:\\videodrv.exe könyvtárakba
A féreg az ismert biztonsági réseket használja ki. A biztonsági réseket javító patch már néhány hónapja elérhető a Microsoftnál.W32/Mimail-A a következő bejegyzéseket adja hozzá a registryhez, hogy el tudjon indulni a rendszer újraindítása után:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\VideoDriver
=C:\\videodrv.exe
A féreg megkeresi a helyi merevlemezen lévő e-mail címeket.
A megtalált e-mail címeket a következő fájlban helyezi el. C:\\eml.tmp

A vírus neve : Troj/Autoroot-A
A vírus típusa : Trójai program
Dátum : 2003. augusztus 5.
A Troj/Autoroot-A megkísérli kihasználni az ismert Microsoft's DCOM RPC interface hibáját és így utat nyitni a Troj/IRCBot-G féregnek, hogy átvehesse az irányítást a megtámadott számítógép felett A Microsoft által kibocsátott patch megszünteti ezt a sebezhetőséget.

A vírus neve : W32/Blaster-A
Más név:W32/Lovsan.worm, W32.Blaster.Worm,
WORM_MSBLAST.A, Win32.Poza, Worm/Lovsan.A
A vírus típusa : Win32 féreg
Dátum: 2003. augusztus 12.

W32/Blaster-A féreg átvizsgálja a hálózatot és olyan számítógépeket keres, amelyeken kihasználhatja a Microsoft's DCOM RPC biztonsági hibát. Amennyiben alkalmas számítógépet talál, a féreg rámásolja magát a megtámadott számítógépre TFTP csatornán keresztül. Fertőzés után leállítja, majd indítja a gépet. Továbbá a féreg a következő bejegyzéseket helyezi el a registrybe és futtatja magát a következő indításkor. Az Xp rendszereken leállítja, majd felbootolja alkalmanként a gépet.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update

Augusztus 16-a után a féreg adatelárasztásos (DoS) támadást fog indítani a windowsupdate.com ellen A jelzések, és az elemzés szerint 50 SYN csomag bombázná másodpercenként 80 – -szor a lap 80-as portját.

A féregben egy üzenet is van, de nem írja ki a képernyőre, analizálni, megnyitni kell ahhoz, hogy olvasható legyen. A szövege a következő:

I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

Windows 95/98/Me rendszerek nem tartalmazzák a RPC alkalmazást, hanem alapbeállításban TFTP kliensek, ezért a féregre nem érzékenyek. Ennek ellenére lehetett olyan gépet találni, mely TFTP alkalmazást használt, és megfertőződött.
Ezért mindenki érdekében javasoljuk a következő lépések elvégzését – melyekhez a szükséges programokat innen letölthetik:
Microsoft hibajavító letöltése, és telepítése.

Féreg eltávolító program futtatása (elég sokszor emlegetik a Symantecet, ezért mást választottam. Az egyik a Sophos AntivirusŠ származik. A tömörített fájlra klikkelve, az kicsomagolja magát egy C\:SOPHOSTEMP mappába. Ezután a futtat (run) parancssort kell alkalmaznia. Megkeresni a fenti könyvtárat, és abban is a.com fájlt.

Ha a parancssor erre mutat, akkor ezt ki kell egészíteni az alábbi kapcsolókkal:/szóköz/-DF=BLASTERA.DAT -NOC. Tehát a parancssor így néz ki: C:\SOPHTEMP\RESOLVE.COM -DF=BLASTERA.DAT -NOC
Egy kiváló eltávolító tölthető le innen (http://flaming.tolna.net/geza/rpc/dcomkill.zip), a melléket utasításokkal együtt.
Ha valaki ragaszkodik a Symantechez annak a termékét itt találja (http://flaming.tolna.net/geza/rpc/FixBlast.exe)

Ezt követően javasolt minden esetben a regisztrációs adatbázis átvizsgálása, a következő szempontok szerint:
Futtat (run) regedit - HKEY_LOCAL_MACHINE entry Ezen belül keresse meg a HKLM\Software\Microsoft\Windows\CurrentVersion\Run kulcsot, és a bal ablakból, ha van törölje a windows auto update = msblast.exe bejegyzést.

Ezek után javasolt a gépet egy megbízható online antivírussal átvizsgáltatni:
RAV Antivirus http://www.ravantivirus.com/scan/indexie.php
Trend Micro: http://housecall.trendmicro.com/
Kaspersky Lab's: http://www.kaspersky.com/remoteviruschk.html
Bitdefender: http://www.bitdefender.com/scan/licence.php
És ezzel nincs vége a Kaspersky Lab's jelezte, hogy detektáltak egy férget, mely nem spontán mutáció, az analízise egyértelműen alátámasztotta mindezt. Tulajdonságaiban, felépítésében megegyezik az előzővel, ezért a -B nevet kapta.

A vírus neve: W32/Blaster-B
Más név:
W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, Win32.Poza, Worm/Lovsan.A
A vírus típusa: W32 féreg
Dátum: 2003. augusztus 13.
W32/Blaster-B működési mechanizmusában megegyezik a W32/Blaster-A –val. A különbség az, hogy ez a vírus más fájlt (teekids.exe) és más registry bejegyzést használ:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Inet Xp..

A vírus belsejében lévő üzenet is megváltozott:
Microsoft can suck my left testi!
Bill Gates can suck my right testi!
And All Antivirus Makers Can Suck My Big Fat Cock

A Sophos figyelmeztette a felhasználóit, hogy egy új féreg terjed az interneten, kihasználva egy régen ismert Windows hibát. Az W32/Blaster-A féreg (más neveken: Lovsan, MSBlaster vagy Poza) tartalmaz egy gúnyolódó üzenetet Microsoft elnökéről Bill Gates-ről, és megkísérel egy adatelárasztásos (DdoS) támadást indítani egy Microsoft honlapot célba véve, azt a lapot, ahonnan a cég a frissítéseit, javítóit lehet letölteni.

Ez igen éles, és előrelátó gondolkodásra vall. Megakadályozza, hogy a hibajavítót letöltsék, akik eddig nem tették. Vagyis biztosítja magának a védetlen szervereket.

"Blaster támadása, a Microsoft windowsupdate.com weboldalt elvileg el tudja zárni az internettől. Mondta Graham Cluley a Sophos szakértőinek megbecsült tagja" Lehetőség van arra, hogy a fertőzött gépekről egy összpontosított adatelárasztásos (DoS) indítson. A vírus írója, tehát szándékosan megpróbálja megakadályozni, hogy további frissítéseket töltsenek le a felhasználók – el kell ismerni, hogy a féreg írójának ez egy meglepő trükkje"

"A felhasználók sajnos egy kártevő megjelenésekor felteszik a javítókészletet, felfrissítik az anti – vírus programjukat. Ezzel „túl is léptek" az eseményen. Nem gondolják meg, hogy mindenkinek, aki a számítógépeket, a Hálózatot valamilyen formában használja – ez felelősséggel jár. A gépe nem lehet egy féreg bújóhelye. Ezért a javasolt javító foltokat fel kell tenni, be kell állítani egy megfelelő tűzfalat, és vírusvédelmet folyamatos frissítés mellett. Ez nem olyan nagy munka, de ezt elvégezve a jövőben biztonságban lesz a rendszer, ami a ráfordított energiát már megéri" folytattat Graham Cluley.

Miről írtam eddig – íme:
Itt a Blaster – kódját láthatják,
Itt az analízis részlet.
Ez a Blaster-B helye, Itt az analízist találják
A legfontosabb kérdés: a megismert üzenetek stílusából, elhelyezéséből, tartalmából, a vírus szerkezetéből lehet-e következtetni a vírus írójára, esetleg a motivációra – valamit feltételes módban lehet, de „ennek találati aránya" igen pontos lehet:

A Blaster-A üzenete:
I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

Az üzenet szövege, bár Bill Gatesnak címződött, de a Microsoftnak szól. A nyelvezete egyszerű, higgadtnak tűnik. A megszólítás távol keleti megszólításokhoz hasonló, ahol a „Sun" nem napot, napsugarat jelent, hanem mintegy a megbecsülés egy kis jele. Általában idősebbeknek mindig mondják a fiatalabbak. Mindez teljesen spontánnak tűnik, nem erőltetett szókapcsolatnak. Azonban a szövegben megbecsülés semmi okát nem találjuk, éppen ellenkezőleg. Mindez alátámasztani látszik azt, hogy egy Bill Gatesnél fiatalabb, tradíciókat megtartó keleti ember írta a vírust.

A második levél:
Microsoft can suck my left testi!
Bill Gates can suck my right testi!
And All Antivirus Makers Can Suck My Big Fat Cock

Az üzenet megváltozott, arrogánsabb és fenyegetőbb lett. Ez akként kódolható, hogy az íróját valamilyen „kudarc" érhette – ami jelen esetben egy jó vedelem is lehet, ami miatt nem érte el azonnal célját. Ez egyértelmű indulatlabilitásra, bizonyos szintű önuralom hiányára utal latens agresszióval. Itt térnék vissza az A vírussal kitűzött célra, a Microsoft frissítési adatbázisának megtámadására. Ez első hallásra sokat nem mond, de beillesztve az eddigi képbe szintén tovább kell lépni a konkrét „célponton". Mi lehet a célja pont a frissítéseket, hibajavításokat tartalmazó lap megtámadásának: az, hogy „művének terjedését" ne akadályozhassák meg, és véghezvihessen előre nem látható támadásokat, esetleg más célpont felé is. Miért írható ez le: a két üzenet, bár a Microsoftra utal, de benne van egy „általánosítás is": „And All Antivirus Makers Can Suck My Big Fat Cock" Ezzel a mondattal a vírusíró kissé felelőtlenül felfedte egy tulajdonságát. Egy túlzott egodiasztole (az énkép, és a személyem jelentőségének irreális kitágítása), hatalomvágy, egy réteg felé irányuló uralkodási szándék tűnik elő. Jellemezni két mondatból egy embert nem lehet, de feltételezve a mondatok spontaneitását, a jellemzés megkísérelhető. Eredménye természetesen lehet hibás is, de nagy valószínűséggel a kiragadott tulajdonságok némelyike jellemző rá. Azt kimondani, hogy mindez kóros – felelőtlenség lenne, de ugyanígy az lenne kizárni azt, hogy pszichopatológiai „esettel állunk szemben"

A történet folytatódik: A vírusírók minden lehetőséget kihasználnak arra, hogy „alkotásaik" elterjedjenek. Ezt használta ki azonnal a Blaster megjelenése után valaki, írt egy férget, amely a Microsoft javítócsomagot kínálja, sőt olyan „jószívű", hogy mellékletként eljuttatja azt a felhasználónak. Aki azt kinyitva meglepődve tapasztalja, hogy a rendszere nem frissül, ellenkezőleg: igen szoros kapcsolatba kerül az alábbi féreggel:
Név: Troj/Graybird-A
Más név:Backdoor.GrayBird.g, BKDR_GRAYBIRD.B
Fajta: trójai
Leírás
Troj/Graybird-A egy hátsóajtó trójai, mely az áldozat gépen futva réseket nyit annak rendszerén, sérülékennyé teszi azt, elősegítve egy esetleges támadást. Troj/Graybird-A a fertőzéskor bemásolja magát a Windows system könyvtárba spoolsv.exe néven, és ezt lefuttatva bejegyzéseket tesz a rendszerleíró adatbázis kulcsaihoz, biztosítva ezzel folyamatos működését.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SPOOLSV
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SPOOLSV
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SPOOLSV

A win. inibe beírt „run" parancs mindezt biztosabbá teszi.
A féreg levélben terjed,mely egyik jellemző példája:
Subject line: updated
Message text: Dear customer:
At 11:34 A.M. Pacific Time on August 13, Microsoft began investigating a worm reported by Microsoft Product Support Services (PSS). A new worm commonly known as W32.Blaster.Worm has been identified that exploits the vulnerability that was addressed by Microsoft Security Bulletin MS03-026.

"A Graybird mint egy Microsoft hibajavító ajánlása a Blaster féreg terjedése szempontjából is jelentős, de sokkal jelentősebb az a folyamat, amit ezzel elindít. Mindenki tudja, hogy a Blaster a számítógépek ezreit fertőzte meg a világon, és tudják a védekezés módját. A pánik hamar kialakul, megkezdődik a javítócsomag tömeges letöltése – ami a felhasználó akaratán kívül felér egy DoS támadással, akár egy expoittal." nyilatkozta Graham Cluley. "Soha, és semmi esetben ne bízzon a levelekkel érkező futtatható csatolásaiban. Kevesebb a veszteség már a levelező „bejáratakor" törölni ezeket, mint ami hasznot hozna néhány ilyen állomány."

"A Blaster e-maileken terjed, de a víruskeresők egy része nem ismeri fel. Minderre készüljenek fel a rendszergazdák, ellenőrizzék a tűzfalakat, a vírusvédelmet, és zárják a nem használt portokat". A Sophos közölte, hogy az Apple, a Macintosh és UNIX számítógép rendszerek nincsenek kitéve a támadásnak.

E. Kaspersky 13 – án jelentette be a féreg B verzióját, „mely féreg A verziójának fertőzése a rendszereket tekintve 100 ezres nagyságrendű, PC-k esetében (önálló) meghaladhatja a 10 milliót. Ha nem tudunk eredményesen védekezni nem kell csodálkozni regionális hálózat leállásokkal."

A biztonsági cégek mellett hackercsoportok is felajánlották világszerte segítségüket. Az egyik lehetőség a lap újracímzése, átnevezés szerintük. (ma hajnalban az MS újracímezte lapot) Megvizsgálták a féreg kódot, és az alábbi apró, de nem jelentéktelen példát találták a vizsgált példányban:

Ez ellenőrzi a start up-nál az időt és a dátumot Ha a féreg fut 15/16 éjfélkor, akkor nem tudja elindítani a DDoS támadást, mert ki kell kapcsolni, és újraindítani a rendszert a működéséhez.
GetDateFormat(LOCALE_USER_DEFAULT, 0, NULL, "d", day, 3);
GetDateFormat(LOCALE_USER_DEFAULT, 0, NULL, "M", mon, 3);
if (atoi(day) > 15 || atoi(mon) > 8) {
CreateThread(NULL, 0, SynFlood, NULL, 0, &temp);
}
Eddig ismert variánsok:
WORM_MSBLAST.A
WORM_MSBLAST.B
WORM_MSBLAST.C
TROJ_MSBLAST.DRP
WWORM_MSBLAST.GENORM_MSBLAST.GEN
Forrás : Trend Micro

Biztos vagyok abban, hogy sok információjuk van a két féregről, de remélem, hogy a töménytelen levél elolvasása, a levont következtetések nyújtanak valami újat. Ha csak annyit, hogy mi az a folyamat, aminek szerves része a két féreg, és milyen ember írhatta - megérte a hosszas olvasás.

Köszönet Sophos Anti-VirusŠ - cégnek, és hivatalos magyarországi forgalmazójának a Tőzsér és Máriás Szoftver Iroda Kft.-nek amiért a portálnak megkülönböztetett módon, azonnal elküldi legújabb híreit, feljogosítva ezzel a azok elsődleges közlésére. Külön köszönet Graham Cluley-nak, és E. Kasperskynek készséges segítségükért.
Sophos Anti-VirusŠ & Papp G. dr.Š & HarderŠ & gyik.comŠ "
(Papp Geza, doctor med. Forensic and Computer Security - and Virusanalyst)