DobrΘho nikdy neb²va dostatok a toho zlΘho je neraz viac, ne₧ by bolo potrebnΘ. Rovnako je tomu aj v prφpade tohto t²₧d≥ovej novinky na poli Ükodliv²ch k≤dov, ktorou sa stal internetov² Φerv znßmy medzi pou₧φvate╛mi ako Win32/Blaster (... poprφpade Win32/Lovsan Φi Win32/Poza). Jeho prv² variant dokßzal za nieko╛ko hodφn sp⌠sobi¥ celosvetov· epidΘmiu, ak· sme tu u₧ dos¥ dßvno nemali. Zakrßtko na to poprednΘ AV-spoloΦnosti priniesli informßcie eÜte o nieko╛k²ch ∩alÜφch û nov²ch variantoch tohto Φerva, ktorΘ sa od svojho predchodcu naÜ¥astie prφliÜ nelφÜia a ani neÜφria nato╛ko intenzφvne. PovÜimnutia hodnΘ v tomto smere s· aj dodatoΦnΘ anal²zy, ktorΘ ukßzali, ₧e tieto Φervy dokß₧u priamo infikova¥ len vzdialenΘ poΦφtaΦovΘ systΘmy s nainÜtalovan²m OS MS Windows 2000/XP (... ktor² neobsahuje v sebe integrovan· bezpeΦnostn· zßplatu odstra≥uj·cu chybu v rßmci rozhrania DCOM RPC). V prφpade, ₧e sa ktor²ko╛vek variant internetovΘho Φerva Win32/Blaster pok·si infikova¥ "nezaplßtan²" vzdialen² systΘm s OS MS Windows NT/2003 vyvolß v ≥om vΣΦÜinou okam₧it² pßd d⌠le₧itej systΘmovej slu₧by û Φo mß za nßsledok vyn·ten² reÜtart systΘmu. Pre tak²to reÜtart je charakteristickΘ najmΣ to, ₧e ho vyvolß slu₧ba NT AUTHORITY\System, vykonß sa 60 sek·nd po zobrazenφ informaΦnΘho dial≤govΘho okna a pou₧φvate╛a informuje o neÜtandardnom ukonΦenφ slu₧by RPC (... pozri obrßzok).
Vyn·tenΘmu reÜtartu sa samozrejme dß vyhn·¥, naprφklad nasleduj·cimi dvoma sp⌠sobmi. V okamihu, ke∩ sa na monitore zobrazφ dial≤govΘ okno s informßciou o vzniknutej chybe a pripravovanom reÜtarte je nutnΘ spusti¥ prφkazov² riadok (t.j. systΘmov² s·bor CMD.EXE) a zada¥ v rßmci neho prφkaz "SHUTDOWN -A" (... ktor² vÜak podporuj· priamo len OS MS Windows XP/2003). Ten mß za nßsledok ukonΦenie procesu vypφnania systΘmu a t²m aj odvrßtenie vyn·tenΘho reÜtartu. TakΘto rieÜenie je ₧ia╛ pou₧ite╛nΘ len vtedy, ak pou₧φvate╛ sedφ v danom okamihu priamo za poΦφtaΦom. Pre automatick· eliminßciu ne₧iad·cich (... ·tokmi Φerva Win32/Blaster sp⌠sobovan²ch) reÜtartov je nutnΘ v Nßstrojoch pre sprßvu vybra¥ polo₧ku Slu₧by a nßjs¥ v dostupnom zozname systΘmov· slu₧bu nazvan· VzdialenΘ volanie proced·r (Remote Process Call). V jej vlastnostiach t²kaj·cich sa zotavenia slu₧by v prφpade nejakej chyby alebo problΘmu je vhodnΘ vybra¥ in· mo₧nos¥ ne₧ je reÜtartova¥ poΦφtaΦ. V tomto prφpade vÜak platφ, ₧e naj·ΦinnejÜou ochranou proti ∩alÜφm ·tokom na poΦφtaΦovΘ systΘmy s OS MS Windows NT-2003 zo strany existuj·cich variantov Φerva Win32/Blaster je okam₧itß aktualizßcia AV-systΘmu a inÜtalßcia kritickej bezpeΦnostnej zßplaty, ktorß je u₧ nejak² ten Φas dostupnß na strßnkach spoloΦnosti Microsoft.

DetailnΘ informßcie t²kaj·ce sa kritickej bezpeΦnostnej chyby v rozhranφ DCOM RPC nachßdzaj·com sa v OS MS Windows NT-2003 i informßcie popisuj·ce princφp fungovania a Üφrenia sa internetovΘho Φerva Win32/Blaster.A m⌠₧ete nßjs¥ v Φlßnku uverejnenom na naÜom web sajte d≥a 12.8.2003. V nasleduj·com texte sa preto budeme zaobera¥ v²luΦne popisom nov²ch variantov tohto Φerva, priΦom pri nich spomenieme len odliÜnosti, ktor²mi sa lφÜia od prvΘho objavenΘho a masovo rozÜφrenΘho variantu.

Win32/Blaster.B
... medzi "nezaplßtan²mi" poΦφtaΦmi s nainÜtalovan²m OS MS Windows 2000/XP sa Üφri v∩aka bezpeΦnostnej chybe nachßdzaj·cej sa v rozhranφ DCOM RPC û a to v²luΦne prostrednφctvom poΦφtaΦovej siete (t.j. sie¥ov²ch paketov). Jeho Üφrenie pomocou emailov²ch sprßv a v nich obsiahnut²ch s·borov nie je mo₧nΘ, nako╛ko k≤d Φerva neobsahuje ₧iadne rutiny, ktorΘ by mu tak·to formu replikßcie dovo╛ovali vykonßva¥. Hlavn² rozdiel tohto variantu od variantu p⌠vodnΘho spoΦφva v zmene nßzvu s·boru, ktor² sa pri svojej Φinnosti Φerv sna₧φ integrova¥ do systΘmovΘho adresßra OS MS Windows. V tomto prφpade sa jednß o s·bor nazvan² PENIS32.EXE, ktorΘho ve╛kos¥ je 7 200 bajtov. V prφpade ·speÜnej integrßcie do systΘmu a nßslednej aktivßcie dopσ≥a Φerv v infikovanom systΘme do systΘmov²ch registrov tento k╛·Φ/hodnotu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... Windows auto update = penis32.exe

VÜetky ostatnΘ Φinnosti, vrßtane princφpu Üφrenia sa a vykonßvania DDoS ·toku proti aktualizaΦnΘmu serveru spoloΦnosti Microsoft (... ktor² je u₧ dnes naÜ¥astie nerealizovate╛n²) s· pri tomto variante identickΘ s t²mi, ktorΘ sme uviedli vo vyÜÜie spomφnanom Φlßnku popisuj·com internetov² Φerv Win32/Blaster.A.

Win32/Blaster.C
... medzi "nezaplßtan²mi" poΦφtaΦmi s nainÜtalovan²m OS MS Windows 2000/XP sa Üφri v∩aka bezpeΦnostnej chybe nachßdzaj·cej sa v rozhranφ DCOM RPC û a to v²luΦne prostrednφctvom poΦφtaΦovej siete (t.j. sie¥ov²ch paketov). Jeho Üφrenie pomocou emailov²ch sprßv a v nich obsiahnut²ch s·borov nie je mo₧nΘ, nako╛ko k≤d Φerva neobsahuje ₧iadne rutiny, ktorΘ by mu tak·to formu replikßcie dovo╛ovali vykonßva¥. Hlavn² rozdiel v poradφ tretieho variantu od variantu p⌠vodnΘho spoΦφva v zmene nßzvu s·boru, ktor² sa pri svojej Φinnosti Φerv sna₧φ integrova¥ do systΘmovΘho adresßra OS MS Windows. V tomto prφpade sa jednß o s·bor nazvan² TEEKIDS.EXE, ktorΘho ve╛kos¥ je 5 360 bajtov. V prφpade ·speÜnej integrßcie do systΘmu a nßslednej aktivßcie dopσ≥a Φerv v infikovanom systΘme do systΘmov²ch registrov tento k╛·Φ/hodnotu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... Microsoft Inet Xp.. = teekids.exe

Sp⌠sob Üφrenia sa Φerva Win32/Blaster.C ako aj vÜetky jeho ostatnΘ Φinnosti (... vrßtane rutiny umo₧≥uj·cej spustenie tzv. DDoS ·toku proti aktualizaΦnΘmu serveru spoloΦnosti Microsoft) s· identickΘ s t²mi, ktorΘ sme uviedli vo vyÜÜie spomφnanom Φlßnku popisuj·com jeho p⌠vodn² û prv² variant.

Win32/Blaster.D
... v poradφ tretφ objaven² a tie₧ len minimßlne modifikovan² variant sa Üφri medzi "nezaplßtan²mi" poΦφtaΦmi s nainÜtalovan²m OS MS Windows 2000/XP v∩aka bezpeΦnostnej chybe nachßdzaj·cej sa v rozhranφ DCOM RPC û a to v²luΦne prostrednφctvom poΦφtaΦovej siete (t.j. sie¥ov²ch paketov). Jeho Üφrenie pomocou emailov²ch sprßv a v nich obsiahnut²ch s·borov nie je mo₧nΘ, nako╛ko k≤d Φerva neobsahuje ₧iadne rutiny, ktorΘ by mu tak·to formu replikßcie dovo╛ovali vykonßva¥. Hlavn² rozdiel v porovnanφ s Φervom Win32/Blaster.A spoΦφva v zmene nßzvu s·boru, ktor² sa pri svojej Φinnosti tento Φerv sna₧φ integrova¥ do systΘmovΘho adresßra OS MS Windows. V tomto prφpade sa jednß o s·bor nazvan² MSPATCH.EXE, ktorΘho ve╛kos¥ je 11 776 bajtov. V prφpade ·speÜnej integrßcie do systΘmu a nßslednej aktivßcie dopσ≥a Φerv v infikovanom systΘme do systΘmov²ch registrov tento k╛·Φ/hodnotu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... Norton Antivirus = mspatch.exe

Sp⌠sob Üφrenia sa Φerva Win32/Blaster.D ako aj vÜetky jeho ostatnΘ Φinnosti s· identickΘ s t²mi, ktorΘ sme prezentovali vo vyÜÜie spomφnanom Φlßnku popisuj·com jeho p⌠vodn² û prv² variant. V tele tohto Φerva je mo₧nΘ nßjs¥ i nasleduj·ci textov² re¥azec, resp. odkaz: "This is a patch to fixedRPC Problem! Your computer has been Protected by me. Your have not need update your Windows XP..".

Win32/Blaster.E (... doplnenΘ d≥a 1.9.2003)
... ∩alÜφ identifikovan² variant sa medzi "nezaplßtan²mi" poΦφtaΦmi s nainÜtalovan²m OS MS Windows 2000/XP Üφri taktie₧ v∩aka bezpeΦnostnej chybe nachßdzaj·cej sa v rozhranφ DCOM RPC û a to v²luΦne prostrednφctvom poΦφtaΦovej siete (t.j. sie¥ov²ch paketov). Jeho Üφrenie pomocou emailov²ch sprßv a v nich obsiahnut²ch s·borov nie je mo₧nΘ, nako╛ko k≤d Φerva neobsahuje ₧iadne rutiny, ktorΘ by mu tak·to formu replikßcie dovo╛ovali vykonßva¥. Hlavn² rozdiel tohto variantu od variantu p⌠vodnΘho spoΦφva v zmene nßzvu s·boru, ktor² sa pri svojej Φinnosti Φerv sna₧φ integrova¥ do systΘmovΘho adresßra OS MS Windows. V tomto prφpade sa jednß o s·bor nazvan² MSLAUGH.EXE, ktorΘho ve╛kos¥ je 6 176 bajtov. V prφpade ·speÜnej integrßcie do systΘmu a nßslednej aktivßcie dopσ≥a Φerv v infikovanom systΘme do systΘmov²ch registrov tento k╛·Φ/hodnotu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... Windows Automation = mslaugh.exe

Na rozdiel od vÜetk²ch predchßdzaj·cich variantov sa Φerv Win32/Blaster.E u₧ nepok·Üa vykonßva¥ DDoS ·tok proti aktualizaΦnΘmu serveru spoloΦnosti Microsoft, ale proti web serveru Kimble.org. Inak v tele tohto Φerva je mo₧nΘ nßjs¥ nov² û zmenen² textov² re¥azec, resp. odkaz: "I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY !!!!". VÜetky jeho ostatnΘ Φinnosti zostali zachovanΘ a s· teda identickΘ s t²mi, ktorΘ sme prezentovali v Φlßnku popisuj·com internetov² Φerv Win32/Blaster.A.

Win32/Blaster.F (... doplnenΘ d≥a 2.9.2003)
... rovnako ako vÜetky predchßdzaj·ce varianty aj tento posledne objaven² sa medzi "nezaplßtan²mi" poΦφtaΦmi s nainÜtalovan²m OS MS Windows 2000/XP Üφri taktie₧ v∩aka bezpeΦnostnej chybe nachßdzaj·cej sa v rozhranφ DCOM RPC û a to v²luΦne prostrednφctvom poΦφtaΦovej siete (t.j. sie¥ov²ch paketov). Jeho Üφrenie pomocou emailov²ch sprßv a v nich obsiahnut²ch s·borov nie je mo₧nΘ, nako╛ko k≤d Φerva neobsahuje ₧iadne rutiny, ktorΘ by mu tak·to formu replikßcie dovo╛ovali vykonßva¥. Hlavn² rozdiel tohto variantu od p⌠vodnΘho Φerva Win32/Blaster.A spoΦφva v zmene nßzvu s·boru, ktor² sa pri svojej Φinnosti Φerv sna₧φ integrova¥ do systΘmovΘho adresßra OS MS Windows. V tomto prφpade sa jednß o s·bor nazvan² ENBIEI.EXE, ktorΘho ve╛kos¥ je 11 808 bajtov. V prφpade ·speÜnej integrßcie do systΘmu a nßslednej aktivßcie dopσ≥a Φerv v infikovanom systΘme do systΘmov²ch registrov tento k╛·Φ/hodnotu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... www.hidro.4t.com = enbiei.exe

Win32/Blaster.F sa podobne ako jeho posledn² predchodca u₧ nepok·Üa vykonßva¥ DDoS ·tok proti aktualizaΦnΘmu serveru spoloΦnosti Microsoft, ale proti web serveru Tuiasi.ro, ktor² patrφ Technickej univerzite v Iasi, Rumunsko. V tele tohto Φerva je mo₧nΘ nßjs¥ opΣ¥ zmenen² textov² re¥azec, resp. odkaz nejakΘho nespokojnΘho Ütudenta uvedenej univerzity: "Don't go to the Hydrotechnics faculty!!! You are wasting time...Barsan, the retirement wants you!!! Fuck the diploma!!!!!!". VÜetky jeho ostatnΘ Φinnosti zostali zachovanΘ a s· plne identickΘ s t²mi, ktorΘ sme prezentovali v Φlßnku popisuj·com internetov² Φerv Win32/Blaster.A.

DDoS ·tok na aktualizaΦn² server spoloΦnosti Microsoft...
MasovΘho ·toku zo strany Φervov Win32/Blaster.A û .C na aktualizaΦn² server WindowsUpdate.com, ktor² prevßdzkuje spoloΦnos¥ Microsoft sa pod╛a dostupn²ch informßciφ u₧ netreba obßva¥! P⌠vodn² plßn autora t²chto Φervov poΦφtal s t²m, ₧e vÜetky infikovanΘ stanice zaΦn· od 16.8.2003 a₧ do konca roka 2003 nepretr₧ite odosiela¥ 50-krßt za sekundu 40 bajtov² paket na IP adresu vyÜÜie spomenutΘho aktualizaΦnΘho servera. S ve╛kou pravdepodobnos¥ou by tak²to proces mal za nßsledok jeho ΦastΘ pre¥a₧enie a nßsledne aj krßtke alebo dlhodobΘ v²padky. SpoloΦnos¥ Microsoft si vß₧nos¥ Φrtaj·cej sa situßcie dobre uvedomila a rozhodla sa preto kona¥ r²chlo, no najmΣ efektφvne û so zßmerom prekazi¥ p⌠vodnΘ "ve╛kolepΘ" plßny autora t²chto Φervov.
DDoS rutina obsiahnutß vo v²konnom k≤de Φervov Win32/Blaster.A û .C je vytvorenß tak, ₧e sk⌠r ne₧ odoÜle 40 bajtov² "bombardovacφ" paket na adresu servera WindowsUpdate.com musφ si zisti¥ jeho IP adresu zo zßznamov ulo₧en²ch na DNS serveri. V prφpade, ₧e tak²to zßznam na DNS serveri nie je dostupn² odoÜle Φerv automaticky "bombardovacφ" paket do lokßlnej poΦφtaΦovej siete formou tzv. obe₧nφka, ktor² postupne prechßdza vÜetky dostupnΘ stanice. T²mto sp⌠sobom sa vÜak dan² paket nikdy nedostane mimo lokßlnu sie¥, v ktorej sa nachßdzaj· infikovanΘ poΦφtaΦovΘ systΘmy. Nu₧ a prßve toto bola tß maliΦkos¥, ktor· vyu₧ila spoloΦnos¥ Microsoft vo svoj prospech. Okam₧ite nechala odstrßni¥ z centrßlnych DNS serverov zßznamy o adrese WindowsUpdate.com a zßrove≥ ju prestala pou₧φva¥ ako zdroj pre poskytovanie nov²ch aktualizßciφ pre svoje vybranΘ softvΘrovΘ produkty. Po krßtkej odmlke aktualizaΦnΘho servera boli vÜetky jeho zdroje premiestnenΘ zo starej û zruÜenej adresy na adresu nßhradn·: windowsupdate.microsoft.com. O tejto adrese naÜ¥astie nemß ani jeden z aktußlne sa Üφriacich variantov Φerva Win32/Blaster vo svojom v²konnom k≤de ₧iadnu zmienku a tak m⌠₧eme vÜetci na plßnovan² DDoS ·tok namieren² proti aktualizaΦnΘmu serveru spoloΦnosti Microsoft pokojne zabudn·¥... .

O ∩alÜφch variantoch internetovΘho Φerva Win32/Blaster i s nφm s·visiacich udalostiach Vßs budeme priebe₧ne informova¥. Pou₧φvate╛om infikovan²ch poΦφtaΦov (... pre istotu) odpor·Φame vykonßva¥ eliminßciu existuj·cich variantov tohto Φerva prostrednφctvom aktualizovan²ch AV-systΘmov alebo pomocou jedno·Φelov²ch AV-programov dostupn²ch na strßnkach nßÜho web sajtu, v sekcii Jedno·ΦelovΘ AV.


P.S.: Pod╛a dostupn²ch informßciφ sa v uplynul²ch d≥och objavil na Internete aj Ükodliv² k≤d nazvan² Win32/Fresh.20, ktor² vo svojom tele (t.j. v s·bore INDEX.EXE, s ve╛kos¥ou 32 045 bajtov) ukr²va a v poΦφtaΦov²ch systΘmoch, ktorΘ "infikuje" vyp·Ü¥a a aktivuje Φerv Win32/Blaster.C (... vo forme s·boru TEEKIDS.EXE, s ve╛kos¥ou 5 360 bajtov) spoloΦne s tr≤jskym ko≥om Win32/Lithium (... vo forme s·boru ROOT32.EXE, s ve╛kos¥ou 19 798 bajtov).