ब्लास्टर (कंप्यूटर वर्म)

ब्लास्टर (जिसे लव, लव या एमएसब्लास्ट के नाम से भी जाना जाता है) एक कंप्यूटर कीड़ा है जो अगस्त 2003 के दौरान ऑपरेटिंग सिस्टम विन्डोज़ एक्सपी  और विंडोज 2000 चलाने वाले कंप्यूटरों पर फैल गया। कृमि पहली बार देखा गया था और 11 अगस्त, 2003 को फैलना शुरू हुआ था। इसके फैलने की दर 13 अगस्त, 2003 को संक्रमण की संख्या के चरम पर पहुंचने तक बढ़ी। एक बार एक नेटवर्क (जैसे कि एक कंपनी या विश्वविद्यालय) संक्रमित हो गया, तो यह और तेज़ी से फैल गया नेटवर्क के भीतर क्योंकि फ़ायरवॉल आमतौर पर आंतरिक मशीनों को एक निश्चित पोर्ट का उपयोग करने से नहीं रोकते थे। आईएसपी द्वारा फ़िल्टरिंग और वर्म के बारे में व्यापक प्रचार ने ब्लास्टर के प्रसार को रोक दिया।

सितंबर 2003 में, हॉपकिंस, मिनेसोटा के एक 18 वर्षीय जेफरी ली पार्सन को ब्लास्टर वर्म का बी संस्करण बनाने के लिए अभियोग लगाया गया था; उन्होंने जिम्मेदारी स्वीकार की और जनवरी 2005 में उन्हें 18 महीने की जेल की सजा सुनाई गई। मूल A संस्करण का लेखक अज्ञात रहता है।

निर्माण और प्रभाव
अदालती दस्तावेजों के अनुसार, मूल ब्लास्टर चीनी समूह के सुरक्षा शोधकर्ताओं के बाद बनाया गया था हमले के निष्पादन के लिए अनुमति देने वाले मूल Microsoft पैच को रिवर्स इंजीनियरिंग करें। पोलिश सुरक्षा अनुसंधान समूह लास्ट स्टेज ऑफ़ डेलिरियम द्वारा खोजे गए बफ़र अधिकता  का फायदा उठाकर कीड़ा फैलता है प्रभावित ऑपरेटिंग सिस्टम पर वितरित घटक ऑब्जेक्ट मॉडल सुदूर प्रणाली संदेश सेवा में, जिसके लिए  में एक महीने पहले एक पैच जारी किया गया था ms03-026 MS03-026] और बाद में MS03-039 में। इसने कृमि को बड़ी संख्या में यादृच्छिक आईपी पतों पर स्वयं को स्पैमिंग करके उपयोगकर्ताओं के बिना संलग्नक खोलने की अनुमति दी। जंगली में चार संस्करणों का पता चला है। ये आरपीसी में मूल दोष के सबसे प्रसिद्ध कारनामे हैं, लेकिन वास्तव में 12 अन्य भेद्यताएं थीं जिन पर मीडिया का उतना ध्यान नहीं गया। वर्म को Microsoft Update|windowsupdate.com के पोर्ट 80 के विरुद्ध एक SYN बाढ़ शुरू करने के लिए प्रोग्राम किया गया था यदि सिस्टम की तारीख 15 अगस्त के बाद और 31 दिसंबर से पहले और अन्य महीनों के 15वें दिन के बाद है, जिससे सेवा हमले के वितरित इनकार (DDoS) का निर्माण होता है ) साइट के खिलाफ। Microsoft को नुकसान न्यूनतम था क्योंकि लक्षित साइट windowsupdate.microsoft.com के बजाय windowsupdate.com थी, जिस पर पूर्व को पुनर्निर्देशित किया गया था। वर्म से होने वाले संभावित प्रभावों को कम करने के लिए Microsoft अस्थायी रूप से लक्षित साइट को बंद कर देता है।

कृमि का निष्पादन योग्य, MSBlast.exe, दो संदेश शामिल हैं। पहला पढ़ता है:

 मैं सिर्फ लव यू सैन कहना चाहता हूं !! 

इस संदेश ने कृमि को लवसन का वैकल्पिक नाम दिया। दूसरा पढ़ता है:

 बिली गेट्स आप इसे क्यों संभव बनाते हैं ? पैसा कमाना बंद करो

और अपने सॉफ्टवेयर को ठीक करें !! 

यह Microsoft के सह-संस्थापक और कृमि के लक्ष्य बिल गेट्स के लिए एक संदेश है।

कीड़ा निम्न रजिस्ट्री प्रविष्टि भी बनाता है ताकि यह हर बार विंडोज के शुरू होने पर लॉन्च हो जाए:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ विंडोज़ ऑटो अपडेट = msblast.exe 

समयरेखा

 * 28 मई, 2003: माइक्रोसॉफ्ट ने एक पैच जारी किया जो उपयोगकर्ताओं को वेलचिया  द्वारा उपयोग किए जाने वाले WebDAV में शोषण से बचाएगा। (वेल्चिया ने MSBlast के समान शोषण का उपयोग किया था, लेकिन प्रचार का एक अतिरिक्त तरीका था जो इस पैच में तय किया गया था। इस विधि का उपयोग केवल 200,000 RPC DCOM हमलों के बाद किया गया था - MSBlast द्वारा उपयोग किया जाने वाला रूप।)
 * 5 जुलाई 2003: माइक्रोसॉफ्ट द्वारा 16 तारीख को जारी पैच के लिए टाइमस्टैम्प।
 * 16 जुलाई, 2003: माइक्रोसॉफ्ट ने एक पैच जारी किया जो अभी तक अज्ञात MSBlast से उपयोगकर्ताओं की रक्षा करेगा। साथ ही उन्होंने शोषण का वर्णन करते हुए एक बुलेटिन भी जारी किया।
 * 16 जुलाई, 2003 के आसपास: व्हाइट हैट हैकर्स प्रूफ-ऑफ-कॉन्सेप्ट कोड बनाते हैं, जो सत्यापित करते हैं कि पैच न किए गए सिस्टम कमजोर हैं। कोड जारी नहीं किया गया था। *17 जुलाई, 2003: सीईआरटी/सीसी ने एक चेतावनी जारी की और पोर्ट 135 को ब्लॉक करने का सुझाव दिया।
 * 21 जुलाई, 2003: सीईआरटी/सीसी ने पोर्ट्स 139 और 445 को भी ब्लॉक करने का सुझाव दिया। *25 जुलाई 2003: RPC बग का उपयोग करने के बारे में जानकारी जारी करता है जिसे ठीक करने के लिए Microsoft ने 16 जुलाई का पैच जारी किया था।
 * 1 अगस्त, 2003: यू.एस. ने आरपीसी बग का शोषण करने वाले मैलवेयर की तलाश में रहने के लिए एक चेतावनी जारी की। *11 अगस्त 2003 से कुछ समय पहले: RPC शोषण का उपयोग करने वाले अन्य वायरस मौजूद हैं। * 11 अगस्त, 2003: वर्म का मूल संस्करण इंटरनेट पर दिखाई दिया।
 * 11 अगस्त, 2003: सिमेंटेक एंटीवायरस एक त्वरित रिलीज सुरक्षा अद्यतन जारी करता है। *11 अगस्त 2003, शाम: एंटीवायरस और सुरक्षा फर्मों ने विंडोज अपडेट चलाने के लिए अलर्ट जारी किए। *12 अगस्त 2003: संक्रमित प्रणालियों की संख्या 30,000 बताई गई है। * 13 अगस्त 2003: दो नए कीड़े प्रकट हुए और फैलने लगे। (सोफोस, MSBlast का एक प्रकार और W32/RpcSpybot-A, एक पूरी तरह से नया कीड़ा जो समान शोषण का उपयोग करता है)
 * 15 अगस्त 2003: संक्रमित प्रणालियों की संख्या 423,000 बताई गई है।
 * 16 अगस्त 2003: windowsupdate.com के खिलाफ DDoS हमला शुरू। (काफी हद तक असफल क्योंकि वह URL केवल वास्तविक साइट, windowsupdate.microsoft.com पर रीडायरेक्ट है।) *18 अगस्त, 2003: माइक्रोसॉफ्ट ने एमएसब्लास्ट और इसके प्रकारों के बारे में अलर्ट जारी किया।
 * 18 अगस्त, 2003: संबंधित एंटी-वर्म, वेल्चिया, इंटरनेट पर दिखाई देता है।
 * 19 अगस्त 2003: सिमेंटेक ने वेल्चिया के अपने जोखिम मूल्यांकन को उच्च (श्रेणी 4) में उन्नत किया।
 * 25 अगस्त 2003: McAfee ने अपने जोखिम आकलन को घटाकर मध्यम कर दिया।
 * 27 अगस्त, 2003: वर्म के एक प्रकार में एचपी के खिलाफ एक संभावित डीडीओएस हमले की खोज की गई। *1 जनवरी 2004: वेल्चिया ने खुद को हटा दिया। *13 जनवरी 2004: माइक्रोसॉफ्ट ने एमएसब्लास्ट वर्म और इसके रूपों को हटाने के लिए एक अकेला उपकरण जारी किया।
 * 15 फरवरी, 2004: संबंधित कृमि वेलचिया का एक प्रकार इंटरनेट पर खोजा गया है।
 * 26 फरवरी, 2004: सिमेंटेक ने वेल्चिया वर्म के अपने जोखिम मूल्यांकन को कम कर दिया (श्रेणी 2)।
 * 12 मार्च 2004: McAfee ने अपने जोखिम आकलन को घटाकर निम्न कर दिया।
 * 21 अप्रैल, 2004: एक अन्य प्रकार की खोज की गई। <रेफरी नाम = वायरस प्रोफाइल: W32/Lovsan.worm.a />
 * 28 जनवरी, 2005: MSBlaster के बी वेरिएंट के निर्माता को 18 महीने जेल की सजा सुनाई गई है।

दुष्प्रभाव
हालाँकि वर्म केवल Windows 2000 या Windows XP चलाने वाले सिस्टम पर फैल सकता है, यह Windows NT के अन्य संस्करणों को चलाने वाले सिस्टम पर RPC सेवा में अस्थिरता पैदा कर सकता है, जिसमें Windows Server 2003 और Windows XP Professional x64 संस्करण शामिल हैं। विशेष रूप से, वर्म Windows Server 2003 में नहीं फैलता है क्योंकि Windows Server 2003 को /GS स्विच के साथ संकलित किया गया था, जिसने बफर ओवरफ़्लो का पता लगाया और RPCSS प्रक्रिया को बंद कर दिया। जब संक्रमण होता है, तो बफर ओवरफ्लो आरपीसी सेवा को क्रैश करने का कारण बनता है, जिससे विंडोज़ निम्न संदेश प्रदर्शित करता है और फिर स्वचालित रूप से 60 सेकंड के बाद स्वचालित रूप से रीबूट होता है।

System Shutdown:

This system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM

Time before shutdown: hours:minutes:seconds

Message:

Windows must now restart because the Remote Procedure Call (RPC) Service terminated unexpectedly.

यह पहला संकेत था कि कई उपयोगकर्ताओं को संक्रमण हुआ था; समझौता मशीनों पर हर स्टार्टअप के कुछ मिनट बाद यह अक्सर होता है। काउंटडाउन को रोकने का एक सरल संकल्प है शटडाउन/ए कमांड चलाना, खाली (उपयोगकर्ताओं के बिना) स्वागत स्क्रीन जैसे कुछ दुष्प्रभाव पैदा कर रहा है। वेल्चिया वर्म का एक समान प्रभाव था। महीनों बाद, सैसर (कंप्यूटर वर्म) सामने आया, जिसके कारण एक समान संदेश दिखाई दिया।

यह भी देखें

 * बोटनेट
 * ब्लूकीप (सुरक्षा भेद्यता)
 * कंफिकर
 * गेमओवर ज़ीउस
 * सहायक कीड़ा
 * ऑपरेशन तोवर
 * वेल्चिया|नाचिया (कंप्यूटर वर्म)
 * सैसर (कंप्यूटर वर्म)
 * स्पैम (इलेक्ट्रॉनिक)
 * कंप्यूटर वायरस और वर्म्स की समयरेखा
 * टिनी बैंकर ट्रोजन
 * टॉरपिग
 * सजायाफ्ता कंप्यूटर अपराधियों की सूची
 * ज़ीउस (मैलवेयर)
 * ज़ोंबी (कंप्यूटर विज्ञान)