Дата обнаружения | 17/01/2008 |
Класс | Net-Worm |
Платформа | Win32 |
Описание |
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026. Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем «msblast.exe». Содержит текстовые строки:
Признаками заражения компьютера являются:
Размножение При запуске червь регистрирует себя в ключе автозапуска: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun windows auto update="msblast.exe" Червь сканирует IP-адреса, начинающиеся с «base address» и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров. После этого червь «спит» в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если «base address» является 20.40.50.0, червь будет сканировать следующие адреса: 20.40.50.0 20.40.50.1 20.40.50.2 ... 20.40.50.19 ----------- пауза 1.8 секунды 20.40.50.20 ... 20.40.50.39 ----------- пауза 1.8 секунды ... ... 20.40.51.0 20.40.51.1 ... 20.41.0.0 20.41.0.1 и так далее. Червь выбирает один из двух методов сканирования IP-адресов:
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку «cmd.exe» на TCP порту 4444. После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение. Прочее После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться. C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу. |
Узнай статистику распространения угроз в твоем регионе |