Hacker Feed RSS2 della guida Hacker

di avatar 1372
Pubblicato in: Recensioni

Analizziamo il virus Blaster

E' stato ed e' uno dei virus piu' diffusi su internet, nasconde dei segreti pericolosi. diamo un'occhiata piu' da vicino a questo piccolo capolavoro della pirateria.

Il virus, della categoria dei worm, sfrutta una vulnerabilità specifica e ben nota agli esperti di IT Security: ovvero la cosiddetta RPC DCOM Buffer Overflow.

Questa vulnerabilità, che colpisce le macchine Windows (NT, 2000, XP e Server 2003), permette ad un attacker di eseguire comandi arbitrari con privilegi di amministratore sulla macchina della vittima tramite l’uso del Distributed Component Object Model (DCOM) Remote Procedure Call (RPC).

Il virus, che stranamente è in grado di propagarsi solamene attraverso le macchine con sistema operativo Windows 2000 e XP, effettua degli scan su IP apparentemente randomici e lancia attacchi di tipo Distributed Denial of Service verso windowsupdate.com nei seguenti giorni:

Dal 16 al 31 dei mesi di gennaio, febbraio, marzo, aprile, maggio, giugno, luglio, agosto
tutti i giorni da settembre a dicembre
Nei computer contagiati il virus inserisce un autorun nella seguente chiave di registro:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

A seconda della variante il valore inserito cambia secondo la seguente tabella

”windows auto update” = MSBLAST.EXE (variante A)
”windows auto update” = PENIS32.EXE (variante B)
”Microsoft Inet xp..” = TEEKIDS.EXE (variante C)
Il virus si propaga attraverso la porta TCP 135 effettuando scan su 20 indirizzi IP contemporaneamente e cercando macchine windows vulnerabili. Il virus usa 2 metodi di scan:

Primo metodo: Usa l’indirizzo IP (A.B.C.D) della macchina infetta come base di partenza, settando l’ottetto D a 0, se l’ottetto C e’ superiore a 20 allora sottrae a C un valore random inferiore a 20, altrimenti mantiene il valore originale di C. Se per esempio l’indirizzo della macchina infetta è 210.23.69.101, il valore 69 viene sostituito con un numero a caso compreso tra 50 e 69, questo perche’ 69 e’ maggiore di 20 e il worm sottrae a 69 un valore random inferiore a 20. Il valore 101 viene settato a 0, in questo modo l’ip di base diventa 210.23.[50-69].0. Se invece l’indirizzo del computer infetto e’ 210.23.19.88 allora l’indirizzo di base sara’ 210.23.19.0
Secondo metodo: Dopo aver creato 20 thread di scan contemporanei il worm tenta di connettersi ad indirizzi IP randomici, aprendo 20 porte TCP comrpese tra la 1000 e la 5000 in listening.
In aggiunta il virus apre la porta TCP 4444 per il remote shell e simula un ftp server sulla porta 69. Tramite la remote shell istruisce gli altri pc a scaricare una copia del virus e installarla nella directory C:WindowsSystem32 o C:WINNTSystem32 (a seconda del sistema operativo) usando i seguenti filename:

MSBLAST.EXE (variante A)
PENIS32.EXE (variante B)
TEEKIDS.EXE (variante C)
Per eliminare il virus e’ sufficiente utilizzare un qualsiasi antivirus o, in alternativa, utilizzare uno tool di scan gratuito messo a disposizione dalle case produttrici di antivirus. per avere una lista di questi tool basta fare riferimento ai link correlati a questo articolo.

Save n'Keep

Bookmark condivisi e privati.

Con Save n' Keep ora è possibile!

Le categorie della guida

Ultimi interventi

Vedi tutti

Link correlati

© 2011 DADA S.p.A. P. IVA e C.F. 04628270482. Tutti i diritti riservati.