Blaster

Blaster (även känd som MSBlast och Lovsan) var en internetmask som spreds till datorer som körde Microsofts operativsystem Windows XP och Windows 2000 under augusti 2003.

Masken uppmärksammas och började spridas vilt för första gången 11 augusti 2003. Blaster började 15 augusti skicka stora mängder SYN-paket till windowsupdate.com och därmed åstadkomma en DDoS-attack mot webbplatsen. Konsekvenserna blev minimala eftersom den domän som attackerades var windowsupdate.com istället för windowsupdate.microsoft.com som domänen var omdirigerad till. Microsoft stängde ner sajten temporärt för att minimera potentiella effekter från masken.

Masken spreds genom att exploatera en buffertöverskridning i DCOM RPC-tjänsten. En patch fanns dock tillgänglig en månad tidigare i uppdateringen MS03-026, och senare i MS03-039.

Sidoeffekter

Även om masken bara kan sprida sig till system som kör Windows 2000 eller Windows XP (32-bitarsversionen) så kan den åstadkomma instabilitet i RPC-servicen på system som använder sig av Windows NT, Windows XP (64-bitarsversionen) och Windows Server 2003. Windows Server 2003 kan ej infekteras av masken för den kompilerades med flaggan /GS vilket gör att den upptäcker buffertöverskridningen som utnyttjades och stänger ner RPCSS-processen.[1]. Om masken upptäcker en anslutning till Internet (vare sig om det är bredband eller modem) så kan systemet bli instabilt vilket kan leda till följande text och sen att systemet startar om (vanligtvis efter 60 sekunder):

Windows måste avslutas eftersom tjänsten RPC (remote procedure call) avslutades oväntat.

För många användare var detta första tecknet på att systemet hade infekterats, det inträffade ofta några minuter efter att påverkade system startats upp. Den automatiska avslutandet av Windows kan stoppas genom att tex sätta tillbaka klockan i Windows med ett år eller att köra kommandot "shutdown -a".

Referenser

Externa länkar