Blaster
Blaster (ook Lovsan, Lovesan, Poza of MSBlast) is een computerworm die zich in augustus 2003 verspreidde via Microsoft Windows NT 4.0, 2000, XP en Server 2003. De worm werd opgemerkt op 11 augustus dat jaar, toen hij zich steeds sneller verspreidde met een hoogtepunt op 13 augustus. Filtering door providers en wijdverspreide kennis over de worm, verhinderden de verdere verspreiding. De 18-jarige Jeffrey Lee Parson uit Hopkins (Minnesota) schreef de B-variant en infecteerde 48.000 computers. Op 29 augustus 2003 werd hij gearresteerd, bekende en kreeg in januari 2005 18 maanden gevangenisstraf.
Blaster | ||||
---|---|---|---|---|
Basisinformatie | ||||
Technische naam | W32.Blaster.Worm | |||
Type | computerworm | |||
Aangetaste systemen | Windows | |||
Ontdekking | 11 augustus 2003 | |||
Land van herkomst | Verenigde Staten | |||
Dreigingsanalyse | ||||
Aantal besmettingen | 48.000 computers | |||
Verspreiding | bufferoverloop | |||
|
Ontstaan en gevolgen
bewerkenVolgens gegevens van justitie werd de originele Blasterworm gemaakt nadat Xfocus reverse, een Chinese hackersorganisatie, een patch ontwikkelde die sommige Windowssystemen kwetsbaar maakte. De worm verspreidde zich met een buffer overflow, een slordige programmeergewoonte waardoor een programma tijdens het schrijven van gegevens naar een buffer aangrenzend geheugen kan overschrijven. De mogelijkheid tot misbruik van deze buffer overflow werd ontdekt door de Poolse hackersgroep Last Stage of Delirium.
Later werd een patch uitgebracht om de desbetreffende fouten[1][2] aan te pakken. Dankzij deze fouten kon de worm zich verspreiden zonder dat gebruikers bijlagen openen, door zichzelf simpelweg vaak naar willekeurige IP-adressen te versturen. Er werden vier verschillende versies van de worm ontdekt.
De worm was geprogrammeerd om een SYN flood te starten op 15 augustus 2003 tegen poort 80 van windowsupdate.com, als een DDoS-aanval tegen de site. Microsoft leed bijna geen schade doordat windowsupdate.com werd aangevallen in plaats van windowsupdate.microsoft.com. Microsoft sloot ter bescherming tijdelijk de site.
Symptomen
bewerkenHet misbruik van de fouten in de Windowssystemen veroorzaakt een aantal functiestoornissen in de geïnfecteerde systemen. De volgende symptomen komen voor:
- Hyperlinks openen in een nieuw venster gaat niet meer.
- Pictogrammen verslepen is niet meer mogelijk.
- Plakken of kopiëren van bestanden gaat (bijna) niet meer.
- Het zoeken naar een Windows-bestand werkt onregelmatig.
- Poort 135/TCP is gesloten.
- Windows XP start voortdurend opnieuw op door het NT Authority/System die volgende boodschappen weergeeft:
- Windows must now restart because the Remote Procedure Call (RPC) service terminated unexpectedly.
- This system is shutting down in 60 seconds. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY SYSTEM.
Broncode
bewerkenDe worm bevat twee berichten in zijn broncode:
- I just want to say LOVE YOU SAN!!, waardoor de worm soms Lovesanworm wordt genoemd.
- billy gates why do you make this possible? Stop making money and fix your software!!, een bericht aan Bill Gates, de medeoprichter van Microsoft, het doelwit van de worm.
De worm maakt ook de volgende registry entry zodat het iedere keer samen met Windows opstart:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update=msblast.exe
Externe links
bewerken- (en) Geschiedenis Blaster
- (en) Blaster worm guy arrested
- (en) Arrestatie Jeffrey Lee (Parson news.xinhuanet.com) (gearchiveerd)
- (en) Blaster-Virus op antivirus.about.com
- (nl) Symptomen Blaster
- (nl) Blaster-Virus op www.virusalert.nl
Bronnen
bewerken- Susan W. Brenner: Cybercrime: criminal threats from cyberspace, 2010, p. 65-71.
- ↑ http://technet.microsoft.com/en-us/security/bulletin/ms03-026 MS03-026
- ↑ http://technet.microsoft.com/en-us/security/bulletin/ms03-039 MS03-039. Gearchiveerd op 22 maart 2014.