Blaster

Da Wikipedia, l'enciclopedia libera.
bussola Disambiguazione – Se stai cercando l'arma da fuoco di Guerre stellari, vedi Blaster (Guerre stellari).
Schermata del worm

Blaster (conosciuto anche con i nomi di Lovsan, Lovesan o Msblast) è un worm che si è diffuso sui computer con sistema operativo Microsoft Windows XP e Windows 2000 durante il mese di agosto del 2003.

I primi computer infetti dal worm furono rilevati l'11 agosto. La velocità con cui si diffondeva l'infezione aumentò fino a raggiungere il picco di infetti il 13 agosto. L'essere filtrato da molti ISP ed essere portato all'attenzione degli utenti ne limitò la diffusione.

Il worm era programmato per lanciare un attacco DoS (in particolare un SYN flood) il 15 agosto contro la porta 80 di windowsupdate.com. Il danno per Microsoft fu minimo, poiché il sito preso di mira era windowsupdate.com invece di windowsupdate.microsoft.com verso cui era rediretto. Microsoft disattivò temporaneamente il sito bersaglio per minimizzare i potenziali effetti dell'attacco del worm.

Blaster si diffondeva sfruttando un buffer overflow nei servizi RPC DCOM dei computer con sistema operativo non protetto da patch.

Il worm contiene due messaggi in stringhe nascoste. La prima:

I just want to say LOVE YOU SAN!!

(trad.: "Voglio solo dire TI AMO SAN!!") È il motivo per cui il worm a volte è chiamato Lovsan o Lovesan. Il secondo:

billy gates why do you make this possible ? Stop making money
and fix your software!!

(trad.: "billy gates perché rendi questo possibile? Smetti di far soldi e aggiusta il tuo software!!") è un messaggio per Bill Gates, co-fondatore di Microsoft e obiettivo del worm.

Il 20 agosto 2003, Jeffrey Lee Parson, un ragazzo di 18 anni di Hopkins, cittadina del Minnesota, venne arrestato per aver creato la variante B del worm Blaster; confessò e fu condannato a 18 mesi di carcere.

Effetti collaterali[modifica | modifica sorgente]

Anche se il worm può diffondersi solo su sistemi con Windows 2000 e Windows XP (32 bit), può causare instabilità nei servizi RPC anche su sistemi Windows XP, Windows XP (64 bit) e Windows Server 2003. Il sistema può diventare a tal punto instabile da mostrare il seguente messaggio per poi riavviarsi:

Windows must now restart because the Remote Procedure Call
(RPC) Service terminated unexpectedly.

(trad.: Windows deve essere riavviato poiché il servizio Remote Procedure Call (RPC) è terminato inaspettatamente). Questo messaggio di errore e il conseguente riavvio può essere evitato cambiando le proprietà del servizio RPC, permettendo all'utente di rimuovere il worm e installare una patch che elimini la vulnerabilità.

Un altro metodo per evitare il riavvio è

  • Andare su Start → Esegui
  • Digitare "shutdown -a" e premere Invio

Se eseguita come Amministratore, questa procedura evita il riavvio (-a sta per "Abort").

Inoltre i sistemi che fanno girare il Distributed computing enviroment di Open Software Foundation possono essere disturbati dal traffico generato dal worm, che può portare DCE al crash.

Collegamenti esterni[modifica | modifica sorgente]

Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica