Šī raksta on-line (oriģinālā:) versija atrodama pēc adreses http://cietnis.lv/?id=12362329, no kurienes arī šī izdruka ir nākusi.
Jebkura neautorizēta (bez autora piekrišanas) šī materiāla izmantošana var viest bēdīgas sekas. To darīt vienkārši nedrīkst.
Ar ko zīmīgs 16. augusts?
John Doe (latven@inbox.lv) @ 2003-08-14 09:00:00
Ar ko zīmīgs 16. augusts, kas kopīgs Microsoftam ar vīrusiem vai vienkārši - kapēc mans dators pārstartējas? Laika gaitā sataisītas arvien jaunas sistēmas ar, itkā, lielāku drošību, tomēr esošās drošības nepilnības var radīt arvien graujošākas sekas. Par piemēru var minēt nesen radīto vīrusu Lovsan, par ko stāstījām arī cietnī. Par viņu tad arī šodienas stāsts.
Pirmo reizi vīruss tika pamanīts 11. augustā, kad tas sāka izplatīties ASV datortīklos. Pāris stundu laikā vīruss pārsniedza visus izplatīšanās ātruma rekordus. Sakarā ar to, ASV tas uzturējās tikai neilgu laiku un strauji sāka izplatīties pa visu pasauli. Drīz forumos sāka parādīties mistiski paziņojumi par to, ka datori patvaļīgi sāk pārstartēties - daudzi pat uzsāka datoru pārinstalēšanas. 12. augustā parādītās pirmā neoficiālā informācija par to, kā ar šo problēmu cīnīties, bet 13. augustā jau no parādījās informācija par to, ka inficētas jau apmēram 20000 darbstacijas.
Pāris dienu laikā vīruss ieguva sev daudzus nosaukumus (W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec Security]) un praktiski visas pretvīrusu programmatūras to sāka atpazīt. Lai inficētu datorus, vīruss izmantoja nepilnību (caurumu) Windows NT 4.0, Windows 2000, Windows XP un Windows 2003 sistēmās, kuru 16. jūlijā atklāja hakeru grupa Last Stage of Delerium.
Neilgi pēc tam, kad parādījās paziņojums par to, ka šāda drošības nepilnība eksistē, arī Microsoft pamodās un apstiprināja minēto informāciju un klasificēja šo nepilnību kā bīstamu un pēc piecām dienām izlaida ielāpu, kas šo caurumu aiztaisa. Galvenā problēma bija tāda, ka ielāpus Microsoft izlaiž bieži un liela daļa nemaz nezin, ka tādus jāliek.
Augusta sākumā parādījās pirmais vīruss, kas izmantoja šo caurumu un tas saucās Autorooter. Tāpat, kā Microsoft sistēmai, arī šim vīrusam bija nepilnība, tajā praktiski netika realizēta izplatīšanās sistēma un līdz ar to vīruss ātri pieklusa.
Neilgi pēc tam, apmēram divas nedēļas vēlāk parādās jauns vīruss, kurā, salīdzinājumā ar savu priekšteci, ir lieliski realizēta izplatīšanās sistēma. Lai dators tiktu inficēts, bija nepieciešams tikai atrasties internetā, vīruss pats atrod datorus. Vīruss pārbauda katra atrastā datora 135 portu. Ja nav nekādu šķēršļu inficēšanai (ielāps nav uzlikts, Windows piemērots), vīruss nosūta pa 135 portu pieprasījumu lai dators uzbrucējam piešķir pilnu kontroli. Ja viss notiek pareizi, uz lietotāja datora tiek atvērts 4444. ports, kas gaida turpmākās komandas. Vienlaicīgi vīruss klausās 69 UDP portu. Tiklīdz no inficētā datora pienāk TFTP-pieprasījums, vīrus uz inficēto datoru uzkopē failu MSBLAST.EXE ar izmēru 6175 baiti. Fails iekopējas Windows mapē un palaižas.
Sistēmas reģistrā parādās jauna rindiņa, kas nodrošina vīrusa palaišanu arī pēc datora pārstartēšanās:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe. Vīrusa kodā arī sastopama rindiņa: "Billy Gates why do you make this possible? Stop making money and fix your software!" kā arī "I just want to say LOVE YOU SAN!! Bill". Tieši pēc pēdējās frāzes vīruss ieguvis vienu no saviem nosaukumiem.
Lietotājam lielākā problēma pēc datora inficēšana ir tā, ka tiek radīta milzīga un nederīga datu plūsma, vai vienkāršāk sakot, tiek veidots liekais trafiks, kas pārpilda interneta kanālus. Un kā blakus efekts šim vīrusam ir tā tieksme pārstartēt datoru:
Patiesībā, tas, ka datori tiks pārstartēti, netika plānots, jo vīrusam nebija sevi nekādā veidā jāizrāda līdz pat noteiktam laikam, proti līdz 16. augustam. 16. augustā tika paredzēts visu vīrusu apvienotiem spēkiem uztaisīt vienu lielu DDoS uzbrukumu, proti, vīrusi no visiem inficētiem datoriem sūtītu paketes uz windowsupdate.com, kurā tad arī var atrast ielāpus pret pašu caurumu. Līdz ar to paredzēts, ka 16. augustā Microsoft Windows Update lapai nebūs iespējams piekļūt. Sava veida protesta akcija...
Lai arī par šo vīrusu tiek daudz runāts un parādās šī vīrusa jaunas versijas, ir vēl daudzums cilvēki, kas zvana un nesaprašanā jautā: "Kāpēc mans dators visu laiku pārstartējas?" Par to, ka tikt galā ar šo kaiti lasīt cietnī. Ja kādam ir kas piebilstams vai labojams - lūdzu komentāros...
Visa informācija smelta no 3Dnews.ru
.