ब्लास्टर (कंप्यूटर वर्म)

ब्लास्टर (जिसे लव, लव या एमएस ब्लास्ट के नाम से भी जाना जाता है) कंप्यूटर कीड़ा है जो अगस्त 2003 के समय ऑपरेटिंग प्रणाली विन्डोज़ एक्सपी (XP) एवं विंडोज 2000 चलाने वाले कंप्यूटरों पर विस्तृत हो गया। कृमि पूर्व बार देखा गया था एवं 11 अगस्त, 2003 को विस्तृत होना प्रारम्भ हुआ था। इसके विस्तृत होने की दर 13 अगस्त, 2003 को संक्रमण की संख्या के शिखर पर पहुंचने तक बढ़ी। नेटवर्क (जैसे कि कंपनी या विश्वविद्यालय) संक्रमित हो गया, तो यह तीव्रता से विस्तृत हो गया नेटवर्क के अंदर क्योंकि फ़ायरवॉल सामान्यतः आंतरिक मशीनों को निश्चित पोर्ट का उपयोग करने से नहीं रोकते थे। आईएसपी द्वारा निस्पंदन एवं वर्म के विषय में व्यापक प्रचार ने ब्लास्टर के प्रसार को रोक दिया।

सितंबर 2003 में, हॉपकिंस, मिनेसोटा के 18 वर्षीय जेफरी ली पार्सन को ब्लास्टर वर्म का B संस्करण बनाने के लिए अभियोग लगाया गया था; उन्होंने उत्तरदायित्व स्वीकार किया एवं जनवरी 2005 में उन्हें 18 महीने की जेल की सजा सुनाई गई। मूल A संस्करण का लेखक अज्ञात रहता है।

निर्माण एवं प्रभाव
अदालती प्रपत्रो के अनुसार, मूल ब्लास्टर चीनी समूह के सुरक्षा शोधकर्ताओं के पश्चात बनाया गया था। आक्रमण के निष्पादन के लिए अनुमति देने वाले मूल माइक्रोसॉफ्ट पैच को रिवर्स इंजीनियरिंग करें। पोलिश सुरक्षा अनुसंधान समूह प्रलाप के अंतिम चरण द्वारा संशोधन किये गए  बफ़र अधिकता  का लाभ उठाकर कीड़ा विस्तृतता होती है। प्रभावित ऑपरेटिंग  प्रणाली पर वितरित घटक वस्तु प्रतिरूप सुदूर प्रणाली संदेश सेवा में, जिसके लिए MS03-026  में महीने पूर्व एवं पश्चात में पैच निर्धारित किया गया था। MS03-039 इसने कृमि को बड़ी संख्या में यादृच्छिक आईपी स्थानों पर स्वयं को स्पैमिंग करके उपयोगकर्ताओं के बिना संलग्नक खोलने की अनुमति दी। जंगली में चार संस्करण पाए गए हैं। ये आरपीसी में मूल दोष के सबसे प्रसिद्ध कर्म हैं, किन्तु वास्तव में 12 अन्य भेद्यताएं थीं, जिन पर मीडिया का उतना ध्यान नहीं गया। वर्म को (माइक्रोसॉफ्ट विंडोज़ अपडेट डॉट कॉम) Microsoft Update windowsupdate.com के पोर्ट 80 के विरुद्ध SYN बाढ़ प्रारम्भ करने के लिए प्रोग्राम किया गया था। यदि  प्रणाली की तिथि 15 अगस्त के पश्चात एवं 31 दिसंबर से पूर्व एवं अन्य महीनों के 15वें दिन के पश्चात है, जिससे सेवा हमले के वितरित इनकार (DDoS) का निर्माण होता है ) माइक्रोसॉफ्ट की हानि न्यूनतम थी, क्योंकि लक्षित साइट windowsupdate.microsoft.com के अतिरिक्त windowsupdate.com थी, जिस पर पूर्व को पुनर्निर्देशित किया गया था। वर्म से होने वाले संभावित प्रभावों को अर्घ्य करने के लिए माइक्रोसॉफ्ट अस्थायी रूप से लक्षित साइट को संवृत कर देता है।

कृमि का निष्पादन योग्य, एमएसब्लास्ट.exe, में दो संदेश सम्मिलित हैं। प्रथम पढ़ता है।

मैं सिर्फ लव यू सैन कहना चाहता हूं।

इस संदेश ने कृमि को लवसन का वैकल्पिक नाम दिया। दूसरा पढ़ता है।

बिली गेट्स आप इसे क्यों संभव बनाते हैं? धन कमाना संवृत करो एवं स्वयं के सॉफ्टवेयर को ठीक करें !!

यह माइक्रोसॉफ्ट के सह-संस्थापक एवं कृमि के लक्ष्य बिल गेट्स के लिए संदेश है।

कीड़ा निम्न रजिस्ट्री प्रविष्टि भी बनाता है, जिससे यह प्रत्येक बार विंडोज के प्रारम्भ होने पर प्रारम्भ हो जाए।

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ विंडोज़ ऑटो अपडेट = msblast.exe

समयरेखा

 * 28 मई, 2003: माइक्रोसॉफ्ट ने पैच निर्धारित किया, जो उपयोगकर्ताओं को वेलचिया  द्वारा उपयोग किए जाने वाले (वेबडाव) WebDAV में शोषण से बचाएगा। (वेल्चिया ने एमएसब्लास्ट के समान शोषण का उपयोग किया था, किन्तु प्रचार की अतिरिक्त प्रविधि थी, जो इस पैच में निर्धारित की गयी थी। इस विधि का उपयोग केवल 200,000 RPC DCOM आक्रमणों के पश्चात किया गया था - एमएसब्लास्ट द्वारा उपयोग किया जाने वाला रूप।)
 * 5 जुलाई 2003: माइक्रोसॉफ्ट द्वारा दिनांक 16 को निर्धारित पैच के लिए टाइमस्टैम्प होता है।
 * 16 जुलाई, 2003: माइक्रोसॉफ्ट ने पैच निर्धारित किया जो अभी तक अज्ञात एमएसब्लास्ट से उपयोगकर्ताओं की रक्षा करेगा। साथ ही उन्होंने शोषण का वर्णन करते हुए बुलेटिन भी निर्धारित किया।
 * 16 जुलाई, 2003 के निकट: व्हाइट हैट हैकर्स प्रूफ-ऑफ-कॉन्सेप्ट कोड बनाते हैं, जो सत्यापित करते हैं कि पैच न किए गए प्रणाली शक्तिहीन हैं। कोड निर्धारित नहीं किया गया था। *17 जुलाई, 2003: CERT/CC ने उपदेश निर्धारित किया एवं पोर्ट 135 को ब्लॉक करने का विचार दिया।
 * 21 जुलाई, 2003: CERT/CC ने पोर्ट्स 139 एवं 445 को भी ब्लॉक करने का विचार दिया। *25 जुलाई 2003: RPC बग का उपयोग करने के विषय में जानकारी निर्धारित करता है जिसे ठीक करने के लिए माइक्रोसॉफ्ट ने 16 जुलाई का पैच निर्धारित किया था।
 * 1 अगस्त, 2003: U.S. ने RPC बग का शोषण करने वाले मैलवेयर के शोध में रहने के लिए उपदेश निर्धारित किया। *11 अगस्त 2003 से कुछ समय पूर्व RPC शोषण का उपयोग करने वाले अन्य वायरस उपस्थित हैं। * 11 अगस्त, 2003: वर्म का मूल संस्करण इंटरनेट पर दिखाई दिया।
 * 11 अगस्त, 2003: सिमेंटेक एंटीवायरस त्वरित प्रमोचन सुरक्षा अद्यतन निर्धारित करता है। *11 अगस्त 2003, शाम: एंटीवायरस एवं सुरक्षा फर्मों ने विंडोज अपडेट चलाने के लिए अलर्ट निर्धारित किए। *12 अगस्त 2003: संक्रमित प्रणालियों की संख्या 30,000 बताई गई है। * 13 अगस्त 2003: दो नए कीड़े प्रकट हुए एवं विस्तृत होने लगे। (सोफोस, एमएसब्लास्ट का प्रकार एवं W32/RpcSpybot-A, पूर्ण रूप से नया कीड़ा जो समान शोषण का उपयोग करता है)
 * 15 अगस्त 2003: संक्रमित प्रणालियों की संख्या 423,000 बताई गई है।
 * 16 अगस्त 2003: windowsupdate.com के विरुद्ध DDoS आक्रमण प्रारम्भ (अधिकतम सीमा तक असफल क्योंकि वह URL केवल वास्तविक साइट, windowsupdate.microsoft.com पर पुननिर्देशित है।) *18 अगस्त, 2003: माइक्रोसॉफ्ट ने एमएसब्लास्ट एवं इसके प्रकारों के विषय में अलर्ट निर्धारित किया।
 * 18 अगस्त, 2003: संबंधित एंटी-वर्म, वेल्चिया, इंटरनेट पर दिखाई देता है।
 * 19 अगस्त 2003: सिमेंटेक ने वेल्चिया के स्वयं संकट मूल्यांकन को उच्च (श्रेणी 4) में उन्नत किया।
 * 25 अगस्त 2003: McAfee ने स्वयं संकट आकलन को घटाकर मध्यम कर दिया।
 * 27 अगस्त, 2003: वर्म के प्रकार में HP के विरुद्ध संभावित DDoS आक्रमण का शोध किया गया। *1 जनवरी 2004: वेल्चिया ने स्वयं को विस्थापित कर दिया। *13 जनवरी 2004: माइक्रोसॉफ्ट ने एमएसब्लास्ट वर्म एवं इसके रूपों को विस्थापित करने के लिए एकाकी उपकरण निर्धारित किया।
 * 15 फरवरी, 2004: संबंधित कृमि वेलचिया का प्रकार इंटरनेट पर शोध किया गया है।
 * 26 फरवरी, 2004: सिमेंटेक ने वेल्चिया वर्म के स्वयं संकट मूल्यांकन को अर्घ्य कर दिया (श्रेणी 2)।
 * 12 मार्च 2004: McAfee ने स्वयं संकट आकलन को घटाकर निम्न कर दिया।
 * 21 अप्रैल, 2004: अन्य प्रकार का शोध किया गया।
 * 28 जनवरी, 2005: एमएसब्लास्टर के "B" वेरिएंट के निर्माता को 18 महीने जेल की सजा सुनाई गई है।

दुष्प्रभाव
चूंकि वर्म केवल Windows 2000 या Windows XP चलाने वाले प्रणाली पर विस्तृत हो सकता है, यह विंडोज NT के अन्य संस्करणों को चलाने वाले  प्रणाली पर RPC सेवा में अस्थिरता उत्पन्न कर सकता है, जिसमें विंडोज सर्वर 2003 एवं विंडोज XP प्रोफेशनल x64 संस्करण सम्मिलित हैं। विशेष रूप से, वर्म विंडोज सर्वर 2003 में विस्तृत नहीं होता है, क्योंकि विंडोज सर्वर 2003 को /GS स्विच के साथ संकलित किया गया था, जिसने अंतर्रोधी अधिकता की जानकारी प्राप्त की गयी एवं RPCSS प्रक्रिया को संवृत कर दिया। जब संक्रमण होता है, तो अंतर्रोधी अधिकता RPC सेवा को ध्वस्त करने का कारण बनता है, जिससे विंडोज़ निम्न संदेश प्रदर्शित करता है एवं तत्पश्चात स्वचालित रूप से 60 सेकंड के पश्चात स्वचालित रूप से रीबूट होता है।

प्रणाली समापन

यह तंत्र संवृत हो रहा है। कृपया सभी कार्य प्रगति पर सहेजें एवं लॉग संवृत करें। कोई भी न सहेजा गया परिवर्तन विलुप्त जाएगा। यह शटडाउन एनटी द्वारा प्रारम्भ किया गया था।प्राधिकरण \ प्रणाली

शटडाउन से पूर्व का समय: घंटे: मिनट: सेकंड संदेश:

विंडोज़को अब पुनरारंभ करना होगा, क्योंकि दूरस्थ प्रक्रिया कॉल (RPC) सेवा अनपेक्षित रूप से समाप्त हो गई है।

यह प्रथम संकेत था, कि कई उपयोगकर्ताओं को संक्रमण हुआ था; निराकरण मशीनों पर प्रत्येक प्रारम्भ के कुछ मिनट पश्चात यह प्रायः होता है। काउंटडाउन को रोकने का सरल संकल्प है शटडाउन/a आदेश चलाना, रिक्त (उपयोगकर्ताओं के बिना) स्वागत आवरण जैसे कुछ दुष्प्रभाव उत्पन्न कर रहा है। वेल्चिया वर्म का समान प्रभाव था। महीनों पश्चात, सैसर (कंप्यूटर वर्म) सामने आया, जिसके कारण समान संदेश दिखाई दिया।

यह भी देखें

 * बोटनेट
 * ब्लूकीप (सुरक्षा भेद्यता)
 * कंफिकर
 * गेमओवर ज़ीउस
 * सहायक कीड़ा
 * ऑपरेशन तोवर
 * वेल्चिया (कंप्यूटर वर्म)
 * सैसर (कंप्यूटर वर्म)
 * स्पैम (इलेक्ट्रॉनिक)
 * कंप्यूटर वायरस एवं वर्म्स की समयरेखा
 * टिनी बैंकर ट्रोजन
 * टॉरपिग
 * सजायाफ्ता कंप्यूटर अपराधियों की सूची
 * ज़ीउस (मैलवेयर)
 * ज़ोंबी (कंप्यूटर विज्ञान)