13 sierpnia 2003

Worm.Win32.Lovesan - wykorzystuje lukę w protokole RPC systemów Windows

Jest to robak rozprzestrzeniający się poprzez internet. Ma postać pliku msblast.exe (format PE EXE) o rozmiarze około 6 KB (kompresja UPX, rozmiar po rozpakowaniu około 11 KB) i powstał przy użyciu języka programowania C. Robak wykorzystuje lukę w protokole RPC systemów Windows. Została ona opisana w biuletynie MS03-026.

W kodzie robaka zapisany jest następujący tekst:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? 
Stop making money and fix your software!!

Symptomy infekcji są następujące:

  • obecność pliku msblast.exe w folderze systemowym (system32) Windows,
  • pojawianie się komunikatu o błędzie w protokole RPC oraz restartowanie komputera.

Rozprzestrzenianie

Po uruchomieniu zainfekowanego pliku robak tworzy w rejestrze systemowym klucz auto-run:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run windows auto update="msblast.exe"
.

Robak skanuje adresy IP począwszy od bazowego, po czym podejmuje próbę połączenia się z 20 kolejnymi adresami i infekowania znajdujących się pod nimi komputerów. Następnie szkodnik wstrzymuje swoje działanie na czas 1,8 sekundy i atakuje kolejne 20 adresów. Powyższa procedura działa w nieskończonej pętli. Przykładowo jeżeli adres bazowy IP ma postać 20.40.50.0, szkodnik będzie skanował następujące adresy:

20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- 1,8 sekundy przerwy
20.40.50.20
...
20.40.50.39
----------- 1,8 sekundy przerwy
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
itd.

Szkodnik korzysta z dwóch metod skanowania adresów IP.

Metoda pierwsza. Robak generuje adres bazowy IP w postaci A.B.C.D, gdzie D ma wartość 0, natomiast A, B oraz C przyjmują losową wartość z przedziału 1-255. Zatem adres bazowy zawarty jest w przedziale [1-255].[1-255].[1-255].0.

Metoda druga. Robak pobiera adres IP lokalnego komputera (A.B.C.D), ustawia wartość D na 0 i modyfikuje wartość C. Jeżeli wartość C jest większa niż 20, szkodnik losowo wybiera liczbę z przedziału 1-20. Jeżeli wartość C jest mniejsza niż 20 szkodnik nie modyfikuje jej.

Przykładowo jeżeli adres zainfekowanej maszyny ma postać 207.46.134.191 szkodnik rozpocznie skanowanie od 207.46.[115-134].0, natomiast jeżeli adres ma postać 207.46.14.1 skanowanie rozpocznie się od 207.46.14.0.

Szkodnik wysyła na port TCP 135 atakowanej maszyny żądanie przepełniające bufor, co prowadzi do pobrania przez "ofiarę" jego kopii robaka z zainfekowanego komputera.

Informacje dodatkowe

Począwszy od 16 sierpnia robak przeprowadza atak DDoS na serwerze windowsupdate.com.