블래스터(컴퓨터 웜)

Blaster (computer worm)
블라스터
Virus Blaster.jpg
프로그래머가 마이크로소프트 창업자 빌 게이츠에게 남긴 메시지를 보여주는 Blaster 웜의 16진수 덤프
기술명블래스터로서
  • Worm.Win32.블라스터(글로벌 Hauri)
  • W32/블래스터(Norman)
  • W32/블래스터 (Sophos)
  • W32. 블라스터웜(Symantec)

애즈 러브산

MSBLAST로서

  • Worm.Win32.블라스터(글로벌 Hauri)
  • Win32/Msblast (Microsoft)
  • WORM_MSBLAST(트렌드 마이크로)
  • WORM_MSBLAST[편지] (트렌드마이크로)
Win32.Poza (CA) Blaster (Panda)
에일리어스Lovsan, Lovesan, MSB last
유형
격리2004
원점미네소타(B형만 해당)
작성자Jeffrey Lee Parson(B 베리안트만)
사용된 포트리모트 프로시저 콜
영향을 받는 운영 체제Windows XP 및 Windows 2000

Blaster(Lovsan, Lovesan 또는 MSBlast라고도 함)는 2003년 [1]8월 동안 Windows XP 및 Windows 2000실행하는 컴퓨터에 퍼진 컴퓨터 웜입니다.

이 웜은 2003년 8월 11일 처음 발견되어 퍼지기 시작했다.2003년 8월 13일 감염자 수가 최고조에 달할 때까지 확산 속도가 증가했다.네트워크(회사나 대학 등)가 감염되면 일반적으로 방화벽은 내부 머신의 특정 [2]포트 사용을 막지 않기 때문에 네트워크 내에서 더 빠르게 확산됩니다.ISP에 의한 필터링과 웜에 대한 광범위한 홍보가 Blaster의 확산을 억제했다.

2003년 9월, 미네소타 홉킨스 출신의 18세의 제프리 리 파슨은 B형 블라스터 웜을 만든 혐의로 기소되었다. 그는 책임을 인정하고 2005년 [3]1월에 18개월의 징역형을 선고받았다.원본 A 변종의 작성자는 알려지지 않았습니다.

생성 및 효과

법원 서류에 따르면, 원래의 블라스터는 중국 그룹 Xfocus의 보안 연구원들이 [4]공격을 실행할 수 있도록 원래 마이크로소프트 패치를 역설계한 후에 만들어졌다.

이 웜은 영향을 받는 운영체제 상에서 폴란드 보안 조사 그룹인 Last Stage of Delirium이[5] DCOM RPC 서비스를 통해 발견한 버퍼 오버플로를 이용하여 확산됩니다.이러한 버퍼 오버플로는 MS03-026에서 1개월 전에 MS03-039에서 패치가 릴리스되었습니다.이것에 의해, 유저가 첨부 파일을 열지 않고, 대량의 랜덤 IP 주소로 스팸 송신하는 것만으로 웜을 확산시킬 수 있었습니다.야생에서 [6]네 가지 버전이 발견되었습니다.이것들은 RPC의 원래 결함의 가장 잘 알려진 악용이지만 실제로 미디어의 주목을 [7]받지 못한 12개의 다른 취약성이 있었습니다.

이 웜은 시스템 날짜가 8월 15일 이후, 12월 31일 이전 및 기타 달의 15일 이후인 경우 windowsupdate.com 포트 80에 대해 SYN 플래드를 시작하도록 프로그램되어 있으며,[6] 이로 인해 사이트에 대한 Distributed Denial of Service Attack(DDoS; 분산 서비스 거부 공격)이 생성됩니다.마이크로소프트에 대한 피해는 미미했습니다.이 사이트는 windowsupdate.microsoft.com가 아니라 windowsupdate.com로 수정되었습니다.Microsoft는 [citation needed]웜에 의한 잠재적인 영향을 최소화하기 위해 타깃 사이트를 일시적으로 셧다운했습니다.

웜의 실행 파일 MSBlast.exe에는 [8]두 가지 메시지가 포함되어 있습니다.첫 번째는 다음과 같습니다.

LOVE YOU SAN이라고 말하고 싶어!!

이 메시지는 그 벌레에게 Lovesan이라는 대체 이름을 주었다.두 번째는 다음과 같습니다.

빌리 게이츠는 왜 이것을 가능하게 만드나요?돈벌이를 그만두다
소프트웨어를 수정해 주세요!!

마이크로소프트의 공동 창업자이자 웜의 표적이 빌 게이츠에게 보내는 메시지입니다.

또, Windows 가 기동할 때마다 기동하도록, 다음의 레지스트리 엔트리를 작성합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\windows auto update=msblast를 실행합니다.실행

타임라인

  • 2003년 5월 28일: Microsoft는 Welchia가 사용한 WebDAV의 부정 이용으로부터 사용자를 보호하는 패치를 릴리스했습니다.(Welchia는 MSBlast와 동일한 공격을 사용했지만 이 패치에서 수정된 추가 전파 방법이 있었습니다.이 메서드는 MSBlast가 사용한 형식인 200,000 RPC DCOM 공격 후에만 사용되었습니다.)[9][10]
  • 2003년 7월 5일:Microsoft가 [2]16일에 발매하는 패치의 타임 스탬프.
  • 2003년 7월 16일: Microsoft는 아직 알려지지 않은 MSB last로부터 사용자를 보호하는 패치를 출시했습니다.동시에 그들은 또한 [2][11]그 착취에 대해 설명하는 회보를 발표했다.
  • 2003년 7월 16일경:화이트햇 해커들은 패치되지 않은 시스템이 취약함을 확인하는 개념 증명 코드를 만듭니다.코드는 [5]공개되지 않았다.
  • 2003년 7월 17일: CERT/CC는 경고를 해제하고 포트 [12]135를 차단할 것을 권장합니다.
  • 2003년 7월 21일: CERT/CC는 포트 139 및 445도 [12]차단할 것을 권장합니다.
  • 2003년 7월 25일:xFocus는 Microsoft가 수정하기 위해 7월 16일 패치를 [13]릴리스한 RPC 버그를 부정 이용하는 방법에 대한 정보를 공개합니다.
  • 2003년 8월 1일:미국은 RPC [5]버그를 악용한 악성코드를 경계하도록 경보를 발령한다.
  • 2003년 8월 11일 이전:RPC 부정 이용을 사용하는 다른 바이러스가 존재합니다.[7]
  • 2003년 8월 11일:[14] 웜의 원래 버전이 인터넷에 표시됩니다.
  • 2003년 8월 11일: Symantec Antivirus는 신속한 보호 업데이트를 [6]출시합니다.
  • 2003년 8월 11일 저녁:안티바이러스 및 보안 업체는 Windows [14]Update를 실행하기 위해 경보를 발령했습니다.
  • 2003년 8월 12일:감염된 시스템의 수는 3만 [14]개로 보고되고 있다.
  • 2003년 8월 13일:두 마리의 새로운 벌레가 나타나기 시작합니다.(Sophos는 MSBlast와 W32/RpcSpybot-A의 변형이며, 동일한 공격을 사용한 완전히 새로운 웜입니다.)
  • 2003년 8월 15일:감염된 시스템의 수는 423,[16]000으로 보고되고 있습니다.
  • 2003년 8월 16일 : windowsupdate.com에 대한 DDoS 공격이 시작됩니다.(이 URL은 실제 사이트 windowsupdate.microsoft.com에 대한 리다이렉트일 뿐이기 때문에 대부분의 경우 실패합니다.)[14]
  • 2003년 8월 18일: Microsoft는 MSBlast 및 MSB의 변형에 [17]대한 경고를 발행합니다.
  • 2003년 8월 18일:이와 관련된 유용한 웜인 Welchia가 인터넷에 [18]등장합니다.
  • 2003년 8월 19일: Symantec은 Welchia의 리스크 평가를 '높음'으로 업그레이드(카테고리 4).[19]
  • 2003년 8월 25일: McAfee는 리스크 평가를 "중간"[20]으로 낮춥니다.
  • 2003년 8월 27일: HP에 대한 DDoS 공격의 가능성이 있는 [6]웜의 한 변종에서 발견되었습니다.
  • 2004년 1월 1일: Welchia는 스스로 [18]삭제한다.
  • 2004년 1월 13일: Microsoft는 MSBlast 웜과 그 [21]변종을 제거하기 위한 스탠드아론 도구를 출시했습니다.
  • 2004년 2월 15일:[22] 관련 웜 Welchia의 변종이 인터넷에서 발견되었습니다.
  • 2004년 2월 26일: Symantec은 Welchia 웜의 리스크 평가를 "낮음"으로 낮춥니다(카테고리 2).[18]
  • 2004년 3월 12일: McAfee는 리스크 평가를 "낮음"[20]으로 낮춥니다.
  • 2004년 4월 21일: 다른 변종이 발견되었습니다.[20]
  • 2005년 1월 28일:MSBlaster의 "B" 변형 버전을 만든 사람은 18개월의 [23]징역형을 선고 받습니다.

부작용

이 웜은 Windows 2000 또는 Windows XP를 실행하고 있는 시스템에서만 확산되지만 Windows Server 2003 및 Windows XP Professional x64 Edition 등 다른 버전의 Windows NT를 실행하고 있는 시스템에서는 RPC 서비스가 불안정해질 수 있습니다.특히 Windows Server 2003은 /GS 스위치를 사용하여 컴파일되어 버퍼 오버플로를 검출하고 RPCSS 프로세스를 [24]셧다운했기 때문에 Windows Server 2003에서는 웜이 확산되지 않습니다.감염이 발생하면 버퍼 오버플로에 의해 RPC 서비스가 크래시되어 Windows가 다음 메시지를 표시하고 보통 60초 [25]후에 자동으로 재부팅합니다.

시스템 셧다운:

이 시스템이 종료되고 있습니다.진행 중인 모든 작업을 저장하고 로그오프하십시오.저장되지 않은 변경은 모두 손실됩니다.이 셧다운은 NT AUTHORITY\SYSTEM에 의해 시작되었습니다.

종료 전 시간: 시간: 분: 초

메시지:

Remote Procedure Call(RPC; 리모트프로시저 콜) 서비스가 예기치 않게 종료되었기 때문에, Windows 를 재기동할 필요가 있습니다.

이는 많은 사용자가 감염된 첫 번째 징후로, 손상된 머신을 시작할 때마다 몇 분 후에 발생하는 경우가 많습니다.카운트다운을 중지하기 위한 간단한 해결 방법은 "shutdown /a"[26] 명령을 실행하면 빈 [27]시작 화면(사용자 없음)과 같은 부작용이 발생합니다.Welchia 벌레도 비슷한 효과가 있었다.몇 달 후 새서 웜이 출현하여 유사한 메시지가 표시되었습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "CERT Advisory CA-2003-20: W32/Blaster worm". CERT/CC. 2003-08-14. Archived from the original on 2014-10-17. Retrieved 2018-11-03.
  2. ^ a b c "MS03-026: Buffer Overrun in RPC May Allow Code Execution". Microsoft Support. Microsoft Corporation. Retrieved 2018-11-03.
  3. ^ "Minnesota Man Sentenced to 18 Months in Prison for Creating and Unleashing a Variant of the MS Blaster Computer Worm". United States Department of Justice. 2005-01-28. Retrieved 2021-02-17.
  4. ^ Thomson, Iain (2003-09-01). "FBI arrests 'stupid' Blaster.B suspect". vnunet.com. Archived from the original on 2008-11-01. Retrieved 2018-11-03.
  5. ^ a b c "MSBlast W32.Blaster.Worm / LovSan :: removal instructions". able2know.org. 2003-08-12. Retrieved 2018-11-03.
  6. ^ a b c d "W32.Blaster.Worm". Symantec. 2003-12-09. Retrieved 2018-11-03.
  7. ^ a b "The Lifecycle of a Vulnerability" (PDF). internet Security Systems, Inc. 2005. Archived from the original (PDF) on 2016-12-24. Retrieved 2018-11-03.
  8. ^ "Worm:Win32/Msblast.A". Microsoft Corporation. Retrieved 2018-11-03.
  9. ^ Bransfield, Gene (2003-12-18). "The Welchia Worm" (PDF). pp. 14, 17. Retrieved 2018-11-03.
  10. ^ "Buffer Overrun in Windows Kernel Message Handling could Lead to Elevated Privileges (811493)". Retrieved 2018-11-03.
  11. ^ "Flaw In Microsoft Windows RPC Implementation". 2003-07-16. Archived from the original on 2016-03-04.
  12. ^ a b "Buffer Overflow in Microsoft RPC". 2003-08-08. Archived from the original on 2014-07-15. Retrieved 2018-11-03.
  13. ^ "The Analysis of LSD's Buffer Overrun in Windows RPC Interface". 2003-07-25. Archived from the original on 2018-02-17. Retrieved 2018-11-03.
  14. ^ a b c d Roberts, Paul F. (2003-08-12). "Blaster worm spreading, experts warn of attack". Retrieved 2018-11-03.
  15. ^ Roberts, Paul F. (2003-08-13). "New Blaster worm variant on the loose". InfoWorld. Retrieved 2018-11-03.
  16. ^ Roberts, Paul F. (2003-08-18). "Blaster worm attack a bust". InfoWorld. Retrieved 2018-11-03.
  17. ^ "Virus alert about the Blaster worm and its variants". Microsoft Support. Microsoft Corporation. Retrieved 2018-11-03.
  18. ^ a b c "W32.Welchia.Worm". Symantec. 2017-08-11. Retrieved 2018-11-03.
  19. ^ Naraine, Ryan (2003-08-19). "'Friendly' Welchia Worm Wreaking Havoc". InternetNews.com. Retrieved 2018-11-03.
  20. ^ a b c "Virus Profile: W32/Lovsan.worm.a". McAfee. 2003-08-11. Retrieved 2018-11-03.
  21. ^ "A tool is available to remove Blaster worm and Nachi worm infections from computers that are running Windows 2000 or Windows XP". Microsoft Support. Microsoft Corporation. Archived from the original on 2014-08-06. Retrieved 2018-11-03.
  22. ^ "W32.Welchia.C.Worm". Symantec. 2007-02-13. Retrieved 2018-11-03.
  23. ^ "Minnesota Man Sentenced to 18 Months in Prison for Creating and Unleashing a Variant of the MS Blaster Computer Worm". 2005-01-28. Archived from the original on 2014-07-14. Retrieved 2018-11-03.
  24. ^ Howard, Michael (2004-05-23). "Why Blaster did not infect Windows Server 2003". Microsoft Developer. Microsoft Corporation. Retrieved 2018-11-03.
  25. ^ "Worm_MSBlast.A". TrendMicro.com. Retrieved 2018-11-03.
  26. ^ "Blaster Worm-Virus or Its Variants Cause the Computer to Shutdown with an NT AUTHORITY\SYSTEM Error Message Regarding Remote Procedure Call (RPC) Service". HP Consumer Support. HP. Archived from the original on 2014-11-10. Retrieved 2018-11-03.
  27. ^ "Blaster Worm". Techopedia. Retrieved 2018-11-03.