تبلیغات
[pre] [/pre] آینده به شما نزدیک است - با کرم بلستر بیشتر آشنا شویم !
ترفندستان ● مرجع اخبار و اطلاعات کامپیوتری ، اینترنت ، موبایل و آنچه شما بخواهید
تاریخ : سه شنبه 16 خرداد 1391
نویسنده : Mohsen Jamshidi Zarmehri

کرم جدیدی که W32.Blaster نا میده می شود طی روزهای اخیر بشدت گسترش و توانسته است تعدادی بسیار زیا دی از کامپیوترها را آ لوده نماید . کرم فوق،  دارای  اسامی دیگری نظیر : W32/Lovsan.worm  ، WORM_MSBLAT.A  و Win32.Posa.Worms می باشد.

تاریخ کشف :  یازدهم اگوست 2003  . کامپیوترهائی که قبلا" از Patch امنیتی MS03-026 استفاده نموده اند در مقابل ویروس فوق، مصونیت خواهند داشت .
نحوه توزیع : توزیع کرم فوق، از طریق پورت های باز RPC انجام می شود . سیستم ها پس از آلودگی  به ویروس فوق، راه اندازی مجدد شده و یا فایل msblase.exe بر روی  آنان وجود خواهد داشت .
جرئیات فنی :  RPC)Remote Procedure Call) ، پروتکلی است که توسط سیستم عامل ویندوز استفاده می گردد . RPC  ، یک مکانیزم ارتباطی را ارائه و این امکان را فراهم می نماید که برنامه در حال اجراء بر روی یک کامپیوتر قادر به اجراء کد موجود بر روی یک سیستم از راه دور گردد . پروتکل RPC از پروتکل OSF)Open Software Foundation) مشتق شده و مایکروسافت امکانات اضافه ای را به آن اضافه نموده است . در بخشی از پروتکل فوق یک نقطه آسیب پذیر وجود داشته که در ارتباط با پیام های مبادله شده بر روی TCP/IP است . مشکل بوجود آمده ناشی از عدم بررسی ( برخورد ) مناسب پیام های ناقص است . این ضعف امنیتی باعث تاثیرگذاری  یک اینترفیس DCOM)Distributed Component Object Model)  با RPC می گردد( گوش دادن به پورت های فعا ل  RPC ). ایترفیس فوق ، باعث  بررسی  درخواست های فعال شی DCOM ارسال شده توسط ماشین سرویس گیرنده برای سرویس دهنده می گردد . یک مهاجم که امکان استفاده موفقیت آمیز از ضعف موجود را کسب نماید، قادر به اجراء کد با مجوزهای محلی سیستم بر روی یک سیستم آسیب پذیر ، خواهد بود. در چنین حالتی مهاجم ، قادر به انجام هر نوع عملیاتی بر روی سیستم خواهد بود . نصب برنامه ها ، مشاهده تغییرات ، حذف فایل ها و ایجاد account های جدید بهمراه تمامی مجوزهای مربوطه ، نمونه هائی در این رابطه می باشد .بمنظور استفاده از ضعف موجود، یک مهاجم درخواستی خاص بر روی کامپیوتر از راه دور و از طریق پورت های مشخص شده RPC را ارسال می نماید .
عملکرد ویروس :کرم بلستر ، بصورت تصادفی یک دامنه از آدرس های IP را پویش ( بررسی ) تا سیستم مورد نظر خود را برای آسیب رسانی از طریق پورت 135 ، انتخاب نماید . کرم فوق ، از ضعف موجود در رابطه با DCOM RPC  استفاده می نماید . ( اشاره شده در patch شماره MS03-026 ) . زمانیکه کد مربوطه برای سیستمی ارسال گردید در ادامه اقدام به download و اجرای فایل MSBLATE.EXE از یک سیستم راه دور و از طریق HTTP می نماید . پس از اجراء ، کلید ریجستری زیر ایجاد خواهد شد :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
 

علائم آلودگی سیستم : برخی از کاربران ممکن است هیچگونه علائمی  مبنی بر آلودگی سیستم خود را مشاهده ننمایند . در رابطه با کاربرانی که از سیستم ویندوز XP و یا Server 2003 استفاده می نمایند ، سیستم پس از لحظاتی و بدون اینکه کاربر عملیات خاصی را انجام دهد، راه اندازی مجدد می گردد . در رابطه با کاربرانی که از ویندوز NT 4.0 و یا ویندوز 2000 ، استفاده می نمایند ،  سیستم رفتاری غیرپاسخگو را خواهد داشت ( عدم واکنش صحیح در رابطه با برخی از رویداد ها و ارائه خدمات طبیعی ) . کاربران در این رابطه ممکن است موارد زیر را نیز مشاهده نمایند : 

وجود  فایل های غیرمتعارف TFTP
وجود فایل msblast.exe در دایرکتوری Windows System32
سیستم های آسیب پذیر : کاربرانی که دارای یکی از سیستم های زیر می باشند ، در معرض آلودگی خواهند بود :

ویندوز NT 4.0
ویندوز 2000
ویندوز XP
ویندوز 2003
سیستم های مصون : در صورتیکه  وجود شرایط زیر ، کامپیوتر مورد نظر در مقابل عملکرد کرم بلستر مصون خواهد بود :

 در صورتیکه از ویندوز 95 ، 98 ، SE و یا ME استفاده می گردد .
در صورتیکه patch امنیتی اشاره شده در MS03-026  بر روی سیستم نصب شده باشد .
Patch های موجود  : برای دریافت patch مربوطه می توان  از آدرس های زیر استفاده کرد :

·         Windows NT 4.0

·         Windows NT 4.0 Terminal Server Edition

·         Windows 2000

·         Windows XP 32 bit Edition

·         Windows XP 64 bit Edition

·         Windows Server 2003 32 bit Edition

·         Windows Server 2003 64 bit Edition

 سوالات متداول در رابطه با کرم بلستر :

علت وجود ضعف موجود چیست ؟  اشکال فوق،  مربوط به یک Buffer overrun است ( بافری که بررسی های لازم در ارتباط با  آن انجام نشده است ) . مهاجمی که قادر به استفاده موفقیت آمیز از ضعف موجود باشد ، می تواند کنترل کامل سیستم را از طریق یک کامپیوتر از راه دور در اختیار و عملیات دلخواه خود را بدون هیچگونه محدودیتی انجام دهد.علت بروز چنین مسئله ای به سرویس RPC ویندوز برمی گردد که بصورت مناسب وضعیت پیام های ورودی را تحت شرایط خاص ، بررسی نمی نماید .

DCOM چیست ؟  پروتکلی است که  امکا ن  ارتباط  مستقیم بین عناصر نرم افزاری موجود در یک شبکه با یکدیگر را فراهم می نماید.پروتکل فوق، قبلا" OLE Network نامیده می شد.

 RPC چیست ؟ پروتکلی است که یک برنامه می تواند با استفاده از آن درخواست سرویسی را از برنامه موجود بر روی کامپیوتر دیگر در شبکه داشته باشد . RPC ، تسهیلات و امکانات لازم در خصوص ارتباط بین برنامه ها را فراهم می نماید . برنامه هائی که از RPC استفاده می نمایند ضرورتی به آگاهی از پروتکل های شبکه که ارتباطات را حمایت می نمایند ، نخواهند داشت . در RPC ، برنامه درخواست کننده سرویس گیرنده بوده و برنامه ارائه دهنده سرویس ، سرویس دهنده  می باشد .

 سرویس های اینترنت COM و RPC بر روی HTTP چه چیزی می باشند ؟ سرویس های اینترنت COM معرفی شده،  پروتکل حمل DCOM را در ارتباط با  TCP ارائه و این امکان را فراهم می نماید که DCOM ، عملیات خود را از طریق پورت 80 پروتکل TCP انجام دهد . سرویس های اینترنت COM و RPC بر روی HTTP ، این امکان را برای یک سرویس گیرنده و سرویس دهنده فراهم می نمایند که قادر به برقراری ارتباط با یکدیگر در صورت حضور و یا فعال بودن اکثر سرویس دهندگان پروکسی و یا فایروال باشند .

 با استفاده از چه روشی می توان از نصب سرویس های اینترنت COM بر روی سیستم  ، اطمینان حاصل کرد؟ بهترین روش در این رابطه جستجو برای یافتن فایل rpcproxy.dll است . در صورتیکه فایل فوق پیدا گردد ، نشاندهنده نصب سرویس های اینترنت COM بر روی ماشین است .

 اشتباه مایکروسافت در رابطه با پیاده سازی RPC چیست ؟ در بخشی از RPC شکافی وجود داشته که در ارتباط با پیام های مبادله شده از طریق TCP/IP است . علت بروز مشکل ،عدم برخورد مناسب با پیام های ناقص است . مشکل فوق، باعث تاثیرات خاصی در ارتباط با اینترفیس DCOM شده و زمینه  گوش دادن به پورت 135 مربوط به TCP/IP ، فراهم می گردد . امکان دستیابی از طریق پورت های 139 ، 445 و 593 نیز وجود خواهد داشت . با ارسال یک پیام ناقص RPC ، یک مهاجم می تواند باعث بروز اشکال در سرویس دهی توسط سرویس RPC بر روی یک ماشین گردد .

یک مهاجم با استفاده از ضعف موجود قادر به انجام چه عملیاتی خواهد بود ؟ مهاجمی که قادر به استفاده موفقیت آمیز از ضعف موجود باشد ، می تواند کدهائی را با مجوزهای سیستم محلی بر روی یک سیستم اجراء نماید . مهاجم ، قادر به انجام هر نوع عملیاتی بر روی سیستم نظیر : نصب برنامه ها ، مشاهده تغییرات ، حذف فایل ها و ایجاد account های جدید با مجوزها و اختیارات کامل، خواهد بود.

یک مهاجم به چه صورت از ضعف فوق ، استفاده می نماید ؟ یک مهاجم ، بمنظور جستجو و استفاده از این نقص امنیتی می تواند با برنامه ریزی یک ماشین که قادر به ارتباط با یک سرویس دهنده آسیب پذیر از طریق RPC باشد ،  ارتباطی را برقرار و در ادامه  یک نوع پیام خاص  RPC ناقص را ارسال نماید . دریافت چنین پیامی باعث بروز اشکال در ماشین آسیب پذیر شده و بدین ترتیب ماشین فوق ، قادر به اجراء کد دلخواه و مورد نظر مهاجم  خواهد بود .

چه کسانی در معرض این آسیب هستند ؟ هر کاربری که قادر به عرضه یک درخواست TCP بر روی یک اینترفیس RPC بر روی یک کامپیوترآسیب پذیر باشد ، می تواند در معرض آسیب فوق باشد . با توجه به اینکه درخواست های RPC بصورت پیش فرض بر روی تمامی نسخه های ویندوز فعال ( on) می باشند ، هر کاربری که قادر به برقراری  ارتباط با یک کامپیوترآسیب پذیر باشد ، می تواند در معرض این آسیب قرار گیرد .




می توانید دیدگاه خود را بنویسید
buy cheap cialis no prescription جمعه 16 آذر 1397 03:17 ب.ظ

Nicely put. Thank you!
cialis qualitat cialis australia org cialis 10mg prix pharmaci only now cialis for sale in us tarif cialis france cialis authentique suisse cialis official site cialis 200 dollar savings card sublingual cialis online cialis tablets for sale
cialis پنجشنبه 15 آذر 1397 08:14 ب.ظ

Awesome forum posts. Kudos!
canadian discount cialis buying cialis overnight buy cialis online nz discount cialis cialis for sale in europa cialis 5mg prix acheter cialis kamagra cialis ahumada cialis purchasing cialis generico milano
buy cialis germany پنجشنبه 15 آذر 1397 12:41 ق.ظ

Truly loads of amazing material.
canada discount drugs cialis generic cialis at walmart cialis daily new zealand cialis 10 doctissimo canadian cialis cialis pas cher paris generico cialis mexico cialis pills boards acquistare cialis internet generic low dose cialis
Buy cialis online چهارشنبه 14 آذر 1397 08:38 ق.ظ

Kudos! An abundance of write ups!

cialis generico lilly generic cialis pill online il cialis quanto costa cialis pills in singapore costo in farmacia cialis buying cialis on internet price cialis wal mart pharmacy cialis generico postepay cialis 5 mg para diabeticos free generic cialis
buy cialis with no prescription سه شنبه 13 آذر 1397 10:14 ق.ظ

You said it exceptionally well.
we use it 50 mg cialis dose buy original cialis we use it 50 mg cialis dose cialis 5 mg para diabeticos cialis authentique suisse cialis 5 mg scheda tecnica cialis 5 mg funziona cialis for bph generic cialis review uk cialis purchasing
Cialis pills دوشنبه 12 آذر 1397 10:28 ب.ظ

Regards! Ample content!

cialis efficacit cialis 5mg calis cialis professional from usa buy brand cialis cheap achat cialis en itali we choice free trial of cialis cialis online cialis rckenschmerzen cialis sale online
Cialis generic یکشنبه 11 آذر 1397 09:55 ب.ظ

Nicely put. With thanks!
cialis generika in deutschland kaufen cialis cost cialis 5 mg buy generico cialis mexico walgreens price for cialis free generic cialis cialis billig cialis sans ordonnance free generic cialis cialis name brand cheap
Cialis canada یکشنبه 11 آذر 1397 09:05 ق.ظ

You actually revealed it terrifically.
miglior cialis generico acheter cialis meilleur pri il cialis quanto costa 200 cialis coupon generic for cialis overnight cialis tadalafil cialis prezzo di mercato cialis patent expiration cialis cost cialis pills boards
Buy cialis online شنبه 10 آذر 1397 10:07 ب.ظ

Thanks a lot, Great stuff.
we choice free trial of cialis cialis cost prix cialis once a da price cialis best generic cialis 20mg uk interactions for cialis cialis bula buy cialis discount cialis how does cialis work
buy cialis pills شنبه 10 آذر 1397 08:51 ق.ظ

Thanks. I like it.
free cialis cialis dosage we use it cialis online store generic cialis in vietnam cialis great britain cialis 20 mg purchase once a day cialis interactions for cialis cialis 200 dollar savings card cheap cialis
buy tadalafil جمعه 9 آذر 1397 09:35 ب.ظ

Whoa loads of good material.
we recommend cialis info order cialis from india we recommend cialis best buy cialis australian price acquistare cialis internet cialis dosage cialis professional from usa dosagem ideal cialis cipla cialis online cialis reviews
Buy generic cialis پنجشنبه 8 آذر 1397 10:38 ب.ظ

Many thanks. A good amount of data!

cialis et insomni look here cialis order on line cialis 20 mg cut in half buy online cialis 5mg where cheapest cialis we choice free trial of cialis tadalafilo what is cialis comprar cialis navarr cialis generico in farmacia
Buy generic cialis چهارشنبه 7 آذر 1397 10:29 ب.ظ

Incredible all kinds of helpful information!
order generic cialis online cialis coupons rx cialis para comprar cost of cialis per pill precios de cialis generico brand cialis generic cialis per paypa cialis with 2 days delivery cialis for sale in europa prix cialis once a da
Cialis pills چهارشنبه 7 آذر 1397 10:33 ق.ظ

You actually reported this exceptionally well.
tadalafilo ou trouver cialis sur le net cialis tadalafil cuanto cuesta cialis yaho cialis wir preise click here take cialis sialis cialis generico en mexico cialis for sale south africa discount cialis
viagravipsale.com چهارشنبه 28 شهریور 1397 10:02 ق.ظ

Incredible plenty of very good data.
cialis dose 30mg buying cialis on internet if a woman takes a mans cialis generic for cialis cialis en mexico precio cialis price thailand acheter cialis meilleur pri rx cialis para comprar cialis generico cialis diario compra
viagra canada سه شنبه 23 مرداد 1397 09:32 ق.ظ

You actually reported this wonderfully.
getting viagra uk online pharmacy generic viagra lowest price viagra buying viagra online safe how do i get viagra with a prescription buy price viagra viagra generic online pharmacy buy cheap viagra no prescription buy internet viagra buy original viagra
babecolate.com/can-i-buy-cialis-online-in-australia.html سه شنبه 23 مرداد 1397 01:05 ق.ظ

You actually expressed that wonderfully!
cialis dosage amounts prices for cialis 50mg cialis 05 cialis cipla best buy generic for cialis cialis 20 mg effectiveness cialis 20mg preis cf miglior cialis generico chinese cialis 50 mg only best offers cialis use
Viagra or viagra پنجشنبه 6 اردیبهشت 1397 03:21 ق.ظ

Amazing loads of great advice!
is buying viagra online safe buy women viagra safe place to buy viagra online uk can you really buy viagra online price of viagra uk buy viagra sildenafil get a viagra prescription online how to buy viagra safely online where can i buy generic viagra online how to get viagra free
Cialis online یکشنبه 19 فروردین 1397 02:50 ق.ظ

Incredible plenty of very good advice!
cialis pills price each cialis daily dose generic cialis farmacias guadalajara cialis generico lilly click here take cialis we recommend cialis best buy cialis uk cialis per paypa buy cialis online cialis arginine interactio
Cialis 20 mg جمعه 3 فروردین 1397 06:05 ق.ظ

Whoa a lot of wonderful material!
cialis 30 day sample bulk cialis the best choice cialis woman cialis daily dose generic estudios de cialis genricos cialis et insomni cialis pills boards trusted tabled cialis softabs preis cialis 20mg schweiz buy cialis online
Vickey جمعه 17 آذر 1396 09:50 ب.ظ
Valuable information. Fortunate me I found your site accidentally, and I'm shocked why this accident did not happened in advance!
I bookmarked it.
foot pain پنجشنبه 23 شهریور 1396 03:49 ب.ظ
Having read this I thought it was very enlightening. I appreciate you spending some time and effort to put this information together.
I once again find myself personally spending way too much
time both reading and leaving comments. But so what, it was still worth it!
https://chanelltarling.wordpress.com/category/shoe-lifts چهارشنبه 18 مرداد 1396 04:46 ب.ظ
Excellent post. I was checking continuously this blog and
I am impressed! Extremely useful information particularly
the last part :) I care for such information much. I was looking for
this particular information for a very long time. Thank you and best of luck.
What is the tendon at the back of your ankle? جمعه 6 مرداد 1396 11:23 ب.ظ
Thank you for the good writeup. It in truth was a
entertainment account it. Glance advanced to far brought agreeable from you!
However, how can we keep in touch?
Foot Pain جمعه 6 مرداد 1396 08:32 ق.ظ
Ahaa, its good discussion about this paragraph at this place at this webpage,
I have read all that, so now me also commenting here.
Can better posture make you taller? جمعه 30 تیر 1396 12:25 ق.ظ
Admiring the time and energy you put into your website and detailed information you provide.
It's nice to come across a blog every once in a while that isn't the same unwanted rehashed information. Wonderful read!
I've bookmarked your site and I'm adding your RSS feeds to my Google account.
BHW سه شنبه 29 فروردین 1396 04:15 ب.ظ
What's up, after reading this amazing piece of writing i am also delighted to share my
familiarity here with mates.
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر
آخرین مطالب
   
ابزار اینستا گرام
ابزار تلگرام

progress: