Í gær gerðist sá atburður að netnotendur voru að lenda í því að það byrjaði að koma
alltaf niðurtalning frá 1 mínútu þangað til tölvan myndi endurræsa sig. Orsökin er
ormur sem eingöngu þarf að hafa samband við tölvuna og er talinn hættulegur vegna
þess að það þarf ekki að plata neinn til að opna tölvupóstarviðhengi eða neitt álíka.
Ormurinn sýkir eingöngu Windows NT 4 eða nýrri NT stýrikerfi.
Öll helstu hugtök sem koma hér fram eru útskýrð neðst í greininni. Hvet alla til að lesa
greinarsvör ef það skyldu koma fram nánari upplýsingar um orminn eða leiðréttingar
frá mér.
Upplýsingar mínar um virkni vírussins er sú að tölvan sýkist af orminum ef að tölva
sem er viðkvæm gegn öryggisgalla í Windows sem lýst er á
http://www.microsoft.com/security/security_bulletins/m s03-026.asp og orsakast af
því að tölva sem er þegar sýkt af orminum hefur samband við TCP port 135,139 eða
445 og nýtir sér öryggisgallann til að framkvæma skipanir sem að ormurinn er
forritaður til að gera. Virkni ormsins má brjóta niður í eftirfarandi samkvæmt
Symantec:
1. Innkoma í tölvu
2. Býr til vinnslusvæði sem kallast BILLY. Ef það er þegar til, þá gerir ormurinn
ekkert.
3. Bætir við “windows auto update”=“msblast.exe” inn í registry lyklinum
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
4. Fremur útreikningar til að fá nýjar IP tölur til að senda sig á.
5. Sendir sig til allar IP tölur sem koma út í útreikningunum í stigi 4. Allar tölvur þar
sem ekkert hefur verið gert vegna þessa galla verða sýktar. Býr til falda skipunarskel
með innbyggða Windows forritinu Cmd.exe sem hlustar á TCP porti 4444.
6. Hlustar á UDP porti 69. Þegar ormurinn fær beiðni, þá sendir hann forritið
Msblast.exe til tölvunnar sem bað um það.
7. Sendir skipun til tölvunnar sem hann hefur sýkt um að hafa samband við sig á UDP
porti 69 sem orsakar það að sýkta tölvan nær í forritið Msblast.exe og keyrir það.
8. Ef að mánuðurinn er á eftir ágúst á árinu eða eftir 15. í mánuði, þá reynir tölvan að
framkvæma DoS á windowsupdate.com vefsíðuna. Ormurinn mun því framkvæma
árásina frá 16. ágúst og fram til lok ársins.
Hvað skal gera?
Ef að þú ert þegar með vírusinn, þá borgar sig að nota W32.Blaster.Worm Removal
Tool sem fæst á
http://securityresponse.symantec.com/avcenter/venc/dat a/w32.blaster.worm.removal.tool.html.
Þetta stöðvar samt ekki frekari sendingar á orminum til þín en hægir á dreifingu hans.
Ég geri ráð fyrir að flestallir vírusvarnarframleiðendur eru þegar búnir að uppfæra
vírusvarnarskrárnar sínar og borgar sig að uppfæra þær eins fljótt og hægt er. Auk
þess borgar sig að nota eitthvað af aðferðunum sem ætti að framkvæma til að koma í
veg fyrir orminn.
Til að koma í veg fyrir ormurinn geti sýkt þig, þá er hægt að beita eftirfarandi
aðferðum:
1. Ef að þú ert með eldvegg(og kannt á hann), þá borgar sig að loka utanaðkomandi
aðgang að TCP og UDP portum 135,139 og 445 frá internetinu. Þetta kemur
almennt í veg fyrir að þessi ormur og fleiri framtíðarormar sem nýta sér galla í RPC á
vélinni þinni. Ef að þú ert með router þar sem sérstaklega þarf að stilla ef þú vilt
utanaðkomandi aðgang á hvert port sem er á vélinni þinni, þá er þér líklegast óhætt
en ættir samt að fylgjast með merkilegum öryggisviðbótum sem koma út fyrir
Windows. Þessi port ættu ekki að vera opin fyrir utanaðkomandi aðgangi almennt.
Þurfir þú á aðgangi á þessi port, þá ætti að minnsta kosti að takmarka hann við
ákveðnar IP tölur.
2. Önnur leið til að stoppa orminn er að ná í viðbót fyrir Windows sem lokar fyrir
öryggisholuna sem að ormurinn notar til að komast inn. Ég setti viðbæturnar á
http://static.hugi.is/users/fragman/windows/W32.Blaste r.Worm/ og eru skrárnar
merktar eftir stýrikerfum. Þeir sem vita ekki hvort að þeir séu með 32bit eða 64bit
útgáfurnar af stýrikerfunum geta prófað að ná í 32bit útgáfurnar af viðbótunum fyrst,
viðbæturnar munu kvarta yfir þessu ef að þú ert með 64bit útgáfuna. Það er mjög
sjaldgæft hér á landi að fólk sé með 64bit útgáfuna af stýrikerfunum.
ATH! Viðbæturnar eru með ákveðin skilyrði varðandi þjónustupakka sem verða að vera
uppsettir á vélarnar áður en þær eru settar inn. Ef að þú einhverra hluta vegna hefur
ekki viðkomandi Service Pack inn á vélinni þinni og getur/vilt ekki setja þá inn, þá
verður þú að notfæra þér eitt af hinum aðgerðunum sem nefnd eru í greininni.
Skilyrðin fyrir viðbótunum er þessi:
Windows NT 4 þarf Service Pack 6a
Windows NT 4 Terminal Server Edition þarf Service Pack 6
Windows 2000 þarf Service Pack 3 eða 4
Windows XP þarf að gera Gold útgáfa eða hafa Service Pack 1
Windows Server 2003 þarf að vera Gold útgáfa.
3. Virkja Internet Connection Firewmeð öryggi í hugi og stöðugleika.all. Upprunalegar
stillingar eldveggsins verjast gegn þeim utanaðkomandi aðgangi sem þarf til að
ormurinn komist í tölvuna.
4. Slökkva á DCOM á öllum vélum sem eru í sýkingarhættu. Ekki er hægt að virkja
DCOM aftur nema hafa líkamlegan aðgang að vélinni. Þeir sem nota DCOM eru
venjulega lengra komnir notendur svo að ég læt þennan texta vera óþýddan:
To manually enable (or disable) DCOM for a computer:
1. Run Dcomcnfg.exe.
If you are running Windows XP or Windows Server 2003 perform these additional
steps:
Click on the Component Services node under Console Root.
Open the Computers sub-folder.
For the local computer, right click on My Computer and choose Properties.
For a remote computer, right click on the Computers folder and choose New then
Computer. Enter the computer name. Right click on that computer name and choose
Properties.
2. Choose the Default Properties tab.
3. Select (or clear) the Enable Distributed COM on this Computer check box.
4. If you will be setting more properties for the machine, click the Apply button to
enable (or disable) DCOM. Otherwise, click OK to apply the changes and exit
Dcomcnfg.exe.
5. Það er ekki nóg að framkvæma bara ofantaldar aðgerðir og þá er þér óhætt. Það
eru fleiri ormar á kreiki í dag og í framtíðinni. Til að vera öruggari gegn svona
atburðum, þá skal stilla eldvegginn til að loka fyrir öll port sem ekki eru í notkun fyrir
hverja vél. Ef að notkun á porti á eingöngu að vera takmarkað við ákveðna aðila, þá
skal stilla eldvegginn til að taka eingöngu við utanaðkomandi aðgangi á þeim vélum til
þeirrar vélar sem aðgangurinn er leyfilegur. Þar að auki á tæknilegur umsjónarmaður
vélarinnar að sjá til þess að vélin sé örugg frá vírusum og sé með sem fæstar
öryggisholur. Auk þess borgar sig að uppfæra öll forrit sem sjá um þjóna
utanaðkomandi notendum um leið ef að ný útgáfa kemur sem að lokar fyrir öryggisholu
sem hægt er að notfæra sé á viðkomandi vél.
————————
Nokkur hugtök sem notuð voru í greininni:
32bit - Windows útgáfur sem hannaðar eru fyrir 32bit örgjörva, þessi tegund
örgjörva er sú algengasta á markaðnum í dag.
64bit - Sérstök Windows útgáfa sem notfærir sér 64bit örgjörva betur. 64bit útgáfur
af stýrikerfinu geta ekki verið settur upp á örgjörvum sem eru 32bit.
DCOM - DCOM er samskiptastaðall sem sér um samskipti forritahluta við aðra
forritahluta í annarri tölvu yfir tölvunet.
DoS - Skammstöfun og stendur fyrir Denial of Service og eru það árásir sem
sérstaklega eru hannaðar til þess að valda svo miklu álagi að netþjónn getur ekki
svarað öllum fyrirspurnum sem berast og verður því að hafna fyrirspurnum frá alvöru
notendum.
Eldveggur - Íslensk þýðing á enska orðinu Firewall sem er forrit sem hægt er að ná í
að internetinu eða innbyggt í búnað. Eldveggur er til þess að verjast gegn þeim
aðgangi sem að hann er stilltur fyrir eða hleypa eingöngu þeirri internetumferð sem að
hann er stilltur til að hleypa í gegn. Eldveggir geta verið vitlaust stilltir svo að ekki
treysta þeim of vel.
IP tala - Til að internetið virki þarf að auðkenna tölvurnar sem hafa aðgang að
internetinu með IP tölum svo að hægt sé að vita hvert að samskipti á milli tölva eiga
að fara.
Ormur - Ákveðin tegund af vírusum sem krefst ekki líkamlegra viðbragða notenda til
þess að senda sig áfram eins og til dæmis með opnun viðhengja í tölvupósti. Ormar
geta samt verið forritaðir til þess að byrja að dreifast út frá forritum sem að
viðkomandi opnar.
Port - Port geta verið númerið frá 1 og upp í 65535 og eru þau notuð til þess að
auðvelda forritum til þess að hafa samskipti við forrit á öðrum tölvum. Ákveðnar
tegundir af þjónustum og ákveðin forrit geta látið skráð rétt sinn til þess til þess að
nota ákveðin port til þess að auðveldara sé að hafa samskipti við þau.
RPC - Skammstöfun á Remote Procedure Call. Samskiptastaðall sem að forrit getur
notað til að biðja um þjónustu frá öðru forriti í annarri tölvu á tölvuneti. RPC hjálpar til
með samvinnu vegna þess að forrit sem notar RPC verður ekki að skilja
samskiptastaðlana sem hjálpar til með samskipti tölvunnar.
Service Pack - Ákveðnir þjónustupakkar sem að fyrirtæki gefur út sem inniheldur
margar viðbætur við stýrikerfið í einu svo að notendur þurfi ekki að leita uppi hverja
og einustu viðbót og setja inn sérstaklega.
TCP - Samskiptamáti á portum þar sem samband á milli véla á að haldast og krefst
þess að tölvurnar sem hafa samskipti haldi sambandi við hvor aðra. Vélin sem á að
taka á móti sendingunni verður að svara um að hún hafi móttekið pakkann, annars
verður hann endursendur í ákveðin mörg skipti áður en sambandið slitnar.
UDP - Samskiptamáti á portum þar sem tölva sendir boð til annarrar tölvu en krefst
þess ekki að tölvurnar haldi sambandi við hvor aðra og þarf vélin sem á að taka á móti
sendingunni ekki að svara því að hún hafi fengið pakkann.
Windows NT - Sérstök lína Windows stýrikerfa sem var upprunalega hönnuð til þess
að þjóna notendum á staðarneti og keyra þjónustur. Kerfið var hannað til að vera
öruggara og stöðugra en hin lína Windows stýrikerfanna. Stýrikerfislínan bar merkið
NT þangað til Windows 2000 var gert og átti það að sameina Windows 9x línuna við
NT línuna til að gera hana notandavænni. Windows XP og Windows 2003 eru líka
afkomendur þessa samruna.
————————
Höfundar greinarinnar tengist á engan hátt Microsoft, Symantec né höfundi
W32.Blaster ormsins. Höfundur ber ekki ábyrgð á neinum tjóni sem gæti orsakast
vegna lesturs eða aðferða sem nefnd eru í greininni.
Hugi notar vefkökur til að bæta notendaupplifun á vefsíðunni og greina umferð um hana.
Einnig hefur Hugi uppfært persónuverndarstefnu sína.