Archiv Server-Windows 15.877 Themen, 54.317 Beiträge

Blaster Wurm

Dominik6 / 4 Antworten / Flachansicht Nickles

hallo,


ich weiß. das thema ist hier oft genug behandelt worden. trotzdem hab ich noch eine frage, auch wenn ich sie mir mehr oder weniger selbst schon beantworten konnte.


trotzdem bin ich hier über ein posting von CONQUEROR gestoßen. daher spreche ich DICH auch direkt an, oder halt jeden anderen, der darüber bescheid weiß. hab auch im i-net nach meinem problem gesucht. wie gesagt, eigentlich sollte ich schon die anwort wissen. naja, ich will ja hier nicht noch weiter schwafeln...


also: fakt ist ja, dass beim blaster wurm die svchost oder wie die heißt zum absturz gebracht wird. problem ist ja wohl, dass wenn der entsprechende patch von microsoft nicht installiert ist, dass - obwohl man den virus nicht aufm rechner hat - eben doch die svchost.exe abkackt... und das, weil von außen jemand/blaster versucht zugang zu gewinnen, zu meinem rechner!? ist das so mehr oder weniger korrekt??


ich hab also jetzt, nachdem ich festgestellt habe, dass ich noch nicht alle nötigen patches von microsoft installiert hatte, nun hoffentlich alles druff. und siehe da, auch bei deaktivierter firewall kommt es zu keinem crash der svchost.exe ... gut, problem soweit gelöst.


jetzt würde ich aber gerne noch weiter infos zum thema "vorgehen des blaster-wurms" wissen. wenn ihr gute links habt, dann gebt mir bitte nur diesen an.


so, ich hoffe, dass dieser thread nach meinung der super-user unsinnig ist. ich möchte ja nur verstehen. dass es diesen virus gibt ist mir ja nur zu gut bekannt. und wer heute immer noch nichts weiß von diesem oder anderen viren, der sollte echt lieber seinen pc auslassen und ein buch lesen oder einen pullover für kalte wintertage stricken! ;-)


ich danke euch schon mal für eure antworten!!!


polloze

xafford Dominik6 „Blaster Wurm“
Optionen

hallo dominik,




grundlegend sind grob korrekt, aber ich versuche mal eine genauere Beschreibung.


In Windows wird unter anderem RPC/DCOM genutzt, um eine Kommunikation unterschiedlicher Prozesse zum austausch von Daten lokal oder über Netzwerk zu ermöglichen. Vor einiger Zeit wurde ein Fehler innerhalb DCOM entdeckt, der verursacht, daß gewisse Pakete, die an DCOM übermittelt werden nicht genau überprüft werden und einen Buffer Overflow verursachen können. Schlicht gesagt überschreibt der Inhalt einer Variablen die Grenzen des Speichers, die für diese Variable von dem Prozess reserviert wurde und überschreibt dadurch Werte anderer Variablen und was noch schlimme rist, die Rücksprungadressen welceh nach den Variablen abgelegt werden und dem Prozess sagen, an welche Stelle des Codes er zurück muß nach dem Einlesen.


So ein BO hat zur Folge, daß ein Angreifer, wenn er diese Lücke nutzt, eigenen Code innerhalb des Programmflusses injizieren und ausführen kann. Blaster macht genau dies.


Blaster sendet also diese präparierten Pakete an IP-Adressen, die er zufällig ab einer frei gewählten und zufälligen Startadresse wählt. Jetzt kommt das Problem. Für Windows2000 muß das Paket anders aussehen als für WindowsXP. Da Blaster aber nicht weiß (er könnte es, wenn er anders geschrieben wäre) ob er einen XP oder einen 2000 Rechner vor sich hat wählt er rein zufällig das Paket aus.


Wählt Blaster nun zufällig falsch und sendet an einen Windows2000-Rechner das Paket für einen XP-Rechner, so passiert das, was alle Blastergeschädigten kennen: "svchost.exe hat einen Fehler verursacht...blablabla...".


Warum nun svchost.exe? In Windows (den NT-Derivaten ab 2000) verwaltet der ServiceHost (svchost.exe) viele verschiedenen Dienste als "Überprozess", darunter auch RPC. Stürzt nun RPC ab, aufgrund des falsch gewählten Paketes (bei dem falschen Paket wird ein falscher Offset als Sprungadresse angesprochen), so reisst es den svchost mit und der Rechner will neu starten, da in der Diensteverwaltung standardmäßig ein Neustart bei Fehler dieses Dienstes vorgesehen ist.


Ergo, der Rechner stürtzt nur ab, wenn der Eploit fehlschlug!


Wählt Blaster hingegen zufällig den richtigen Exploit für das Opfersystem, so passiert folgendes:



  • Der Code wird in DCOM injiziert und ausgeführt

  • Der Code startet den Download der eigentlichen Schadprogramme über das ThinFTP-Protokoll (tftp)

  • Das eigentliche Schadprogramm wird gestartet (msblast.exe, eventuell in abgewandelten Versionen auch penis32.exe oder teekids.exe)

  • Es wird eine Backdoor im System installiert, welche auf Port 4444 einen Shellzugang anbietet

  • Port 69 wird für den eigenen TFTP-Server geöffnet um weiteren infizierten Rechnern den Download der Schadroutine zu ermöglichen

  • Blaster wählt eine neue Startadresse zufällig aus entweder als Internetadresse oder als Adresse im Internet

  • Blaster sendet ab dieser Adresse sequentiell seine manipulierten RPC/DCOM-Pakete an den TCP-Port 135, ungeachtet ob dort wirklich ein System zu finden ist oder nicht

  • Wird ein weiterer Rechner infiziert, so lässt Blaster ihn über TFTP die Schadroutine herunterladen




Im Großen und Ganzen war dies der Ablauf bei Blaster, abgesehen von dem nicht stattfindenden dDoS-Angriff aus windowsupdate.com.


Daß sowohl bereit infizierte Rechner, als auch nicht infizierte Rechner abstürzen können liegt wie oben angedeutet daran, daß Blaster recht schlampig programmiert wurde. Zum einen überprüft er nicht, ob ein System bereits infiziert ist, zum anderen sendet er seine Schadpakete nicht systemspezifisch, sondern zufällig, wodurch die Abstürze erst zustande kommen durch den falschen Offset bei der Ausführung.


Hätte der Programmierer von Blaster sich mehr Mühe gegeben bei dem Aufbau und hätte zuerst überprüft, ob ein System bereits befallen ist und hätte vor dem eigentichen Angriff getestet, ob es ein Windows2000 oder ein XP-System ist oder hätte erkeinen festen Offset gewählt, so wäre sein "Erfolg" wohl etwas größer ausgefallen, da die Leute nicht durch die ständigen Abstürze auf die Gefahr hingewiesen worden wären und die infizierten Systeme wochenlang ihre Arbeit hätten verrichten können.




Ich hoffe der ganze Kram, den ich hier geschrieben habe nutzt Dir was. Bei weiterem Interesse kannst Du ja mal auf den Seiten von CERT (Computer Emergency Response Team) weitere Details nachlesen.


[Diese Nachricht wurde nachträglich bearbeitet.]