12.08.2003 В глобальной сети появился червь Worm.Win32.MSBlast, использующий опасную уязвимость DCOM.

    Несколько недель назад была обнаружена опасная уязвимость, присутствующая во всех версиях операционных систем Windows 2000/XP. До сих пор данная "дыра" использовалась в основном хакерами и только сейчас появился полнофункциональный червь Worm.Win32.MSBlast, применяющий данную уязвимость. Опасность червя заключается в том, что для своего распространения он не использует каких либо серверов (как обычно делают почтовые черви), а распространяется напрямую между компьютерами, что сильно затрудняет централизованное подавление эпидемий. Единственное условие поражения: наличие уязвимости DCOM и доступ к компьютеру через NetBIOS. Таким образом, подавление эпидемии полностью зависит от сознательности рядовых пользователей и администраторов локальных сетей.

    Worm.Win32.MSBlast является Win32 приложением размером 6176 байт (приложение упаковано утилитой сжатия файлов UPX).

    После запуска червь создаёт ключ в реестре, необходимый для запуска червя при загрузке операционной системы:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
”windows auto update" = MSBLAST.EXE

    Далее MSBlaster создаёт Mutex "BILLY" в памяти компьютера, который применяется червём для проверки наличия в памяти своей копии. Если Мьютекс уже существует, то червь просто завершает свою работу. В противном случае червь засыпает на 20 секунд, после чего проверяет наличие доступа к сети Internet. Последняя операция повторяется до тех пор, пока соединение не будет обнаружено.

    После обнаружения подключения к глобальной сети червь проверяет системную дату. Если дата удовлетворяет указанному ниже условию, червь запускает нить, производящую DoS атаку на сервер windowsupdate.com. Условия для запуска DoS- атаки:

• Каждое 16-е или 31-е число первых восьми месяцев года (Январь-Август);
• Каждый день Сентября и Декабря.

    Для распространения червь пытается установить соединение с предполагаемой "жертвой" на порт 135 удалённой системы (NetBIOS), определяя наличие потенциально-уязвимой операционной системы Windows.

    Распространение при помощи уязвимости DCOM
    Червь ищет компьютеры в своей локальной сети и посылает пакеты, вызывающие переполнение буфера на удалённом компьютере и активизирующие код, содержащийся в пакете. Посылаемый код открывает порт 4444 и подключает к нему командную оболочку "cmd.exe" с правами LocalSystem. На исходном компьютере (с которого происходит распространение) червь открывает порт 69 и эмулирует на нём работу Trivial FTP сервера. Далее, используя открытую командную оболочку на удалённом поражённом компьютере, червь закачивает на него своё тело и копирует его в папку %WinDir%\System32, после чего червь активизируется на удалённом компьютере.

    Процедуры обнаружения и нейтрализации данного червя добавлены в базы "Украинского Национального Антивируса". Всем пользователям рекомендуется обновить антивирусные базы.

    Для устранения уязвимости и предотвращения попадания червя на компьютер всем пользователям рекомендуется установить заплатку на Windows: http://www.microsoft.com/security/security_bulletins/ms03-026.asp