Blaster (virus)

virus informatico

Blaster (conosciuto anche con i nomi di Lovsan, Lovesan o Msblast) è un worm che si è diffuso sui computer con sistema operativo Microsoft Windows XP e Windows 2000 durante il mese di agosto del 2003.

File del worm aperto su un editor esadecimale

I primi computer infetti dal worm furono rilevati l'11 agosto. La velocità con cui si diffondeva l'infezione aumentò fino a raggiungere il picco di infetti il 13 agosto. L'essere filtrato da molti ISP ed essere portato all'attenzione degli utenti ne limitò la diffusione.

Il worm era programmato per lanciare un attacco DoS (in particolare un SYN flood) il 15 agosto contro la porta 80 di windowsupdate.com. Il danno per Microsoft fu minimo, poiché il sito preso di mira era windowsupdate.com invece di windowsupdate.microsoft.com verso cui era rediretto. Microsoft disattivò temporaneamente il sito bersaglio per minimizzare i potenziali effetti dell'attacco del worm.

Blaster si diffondeva sfruttando un buffer overflow nei servizi RPC DCOM dei computer con sistema operativo non protetto da patch.

Il worm contiene due messaggi in stringhe nascoste. La prima è il motivo per cui il worm a volte è chiamato Lovsan o Lovesan:

(EN)

«I just want to say LOVE YOU SAN!!»

(IT)

«Voglio solo dire TI AMO SAN!!»

Il secondo è un messaggio per Bill Gates, cofondatore di Microsoft e obiettivo del worm:

(EN)

«Billy Gates why do you make this possible? Stop making money and fix your software!!»

(IT)

«Billy Gates perché rendi questo possibile? Smetti di far soldi e aggiusta il tuo software!!»

Il 20 agosto 2003, Jeffrey Lee Parson, un ragazzo di 18 anni di Hopkins, cittadina del Minnesota, venne arrestato per aver creato la variante B del worm Blaster; confessò e fu condannato a 18 mesi di carcere.

Effetti collaterali

modifica

Anche se il worm può diffondersi solo su sistemi con Windows 2000 e Windows XP (32 bit), può causare instabilità nei servizi RCP anche su sistemi Windows XP, Windows XP (64 bit) e Windows Server 2003. Il sistema può diventare a tal punto instabile da mostrare il seguente messaggio per poi riavviarsi:

(EN)

«Windows must now restart because the Remote Procedure Call (RPC) Service terminated unexpectedly.»

(IT)

«Windows si deve riavviare perché il Servizio di Chiamata di Procedura Remota (RPC) è terminato inaspettatamente.»

Questo messaggio di errore e il conseguente riavvio può essere evitato cambiando le proprietà del servizio RPC, permettendo all'utente di rimuovere il worm e installare una patch che elimini la vulnerabilità.

Un altro metodo per evitare il riavvio è:

  • Andare su Start → Esegui
  • Digitare "shutdown -a" e premere Invio

Se eseguita come Amministratore, questa procedura evita il riavvio (-a sta per "Abort").

Inoltre i sistemi su cui è in esecuzione il Distributed Computing Environment di Open Software Foundation possono essere disturbati dal traffico generato dal worm, che può portare il DCE al crash.

Collegamenti esterni

modifica
  • Security Response di Symantec, su securityresponse.symantec.com. URL consultato il 21 aprile 2006 (archiviato dall'url originale il 21 aprile 2006).
  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica