Sasser bilgisayar virüsüSütun
Editörün notu: Siber uzay güvenliği, son yıllarda giderek daha fazla kamuoyunun ilgi odağı haline geldi.Çin Bilimler Akademisi'nin Sesi, endüstri uzmanı "Dadong"u bir "Dadong Diyalog Güvenliği" sütunu açması için özel olarak davet etti.
1. Kehanet - bu "şok dalgası" diğer "şok dalgası" değil
Dadong: Xiaobai, neye bakıyorsun, çok enerjik.
Xiaobai: Transformers, içerideki şok dalgası çok güçlü.
Shockwave (Resim kaynağı: Baidu Pictures)
Dadong: O zaman bilgisayar virüslerinin de çok güçlü bir şok dalgası olduğunu biliyor muydunuz?
Xiaobai: Bilmiyorum kardeşim, anlat bana.
2. Olay hakkında konuşmak - Sasser bilgisayar virüsü salgını
Dadong: Sasser bilgisayar virüsü 30 Nisan 2004'te patlak verdi ve kısa sürede dünyaya on milyonlarca dolar zarar verdi.
Xiaobai: Sasser virüsü tarafından vurulmuş bir bilgisayarın özellikleri nelerdir?
Dadong: Bilgisayar bir kez saldırıya uğradığında, anlaşılmaz bir şekilde donacak veya bilgisayarı yeniden başlatacaktır.Virüs dosyası saf bir DOS ortamında yürütüldüğünde, Amerikan askerlerini kınayan bir İngilizce cümle görüntülenecektir.
Bilgisayara Sasser virüsü bulaştı (Resim kaynağı: Xiaoyao Technology dedi ki)
Xiaobai: Ne unutulmaz bir Nisan.
Dadong: Sasser (Shockwave) LSASS solucanı, Visual C dilinde yazılmış, kendi kendine yayılan bir virüstür.
Xiaobai: C dilinde mi yazılmış?
Dadong: Evet, esas olarak eEye güvenlik ekibi tarafından keşfedilen Microsoft LSA arabellek taşması güvenlik açığını hedefliyor.
Xiaobai: Bu virüs amaçlı bir saldırı mı?
Dadong: Evet, Sasser solucanı tarafından kullanılan saldırı, Windows 2000 Professional, Windows 2000 Server ve Windows XP Professional'ın İngilizce ve Rusça sürümlerine karşı test edilmiş bir taşma saldırı kodudur.
Xiaobai: Bu aynı zamanda bazı sistemlere Sasser virüsü bulaşmadığı anlamına geliyor, değil mi?
Dadong: Solucan tarafından kullanılan saldırı kodundaki kusurlar nedeniyle, yalnızca Windows XP'yi ve Windows 2000 Professional'ın bazı belirli sürümlerini etkileyebilir. Şu anda virüsün yayılma dışında yıkıcı (kurban sistemlerine yan etkileri) olduğunu gösteren bir özellik yok.
Xiaobai: Yine de bu virüs çok fazla kayıp getirdi.
Dadong: Kayıp muhtemelen yüz milyonlarca dolar. Farklı ortamlar nedeniyle, çeşitli endüstri sistemleri "Shockwave" virüsü bulaştıktan sonra farklı davranır. Finansal sistemde sunucu, kullanıcının fatura uygulamasına yanıt vermeyi durdurur.
Xiaobai: O zaman internet üzerinden sorgulayıp iş yapamazsınız.
Dadong: Telekom ve ağ operatörleri, virüs bulaşması nedeniyle İnternet'e erişemeyebilir; bireysel kullanıcılar, bilgisayarın sık açılması ve yavaş yanıt vermesi nedeniyle normal şekilde çalışamayabilir.
Xiaobai: Bunun günlük bilgisayar kullanımımız ve yaşamlarımız üzerinde büyük etkisi var.
Dadong: Sadece bu da değil, virüs Windows sisteminin "Güvenlik Kimlik Doğrulama Alt Sistemini" (LASS) çökerterek güvenlik doğrulamasıyla ilgili programlarda ciddi işletim hatalarına neden olur; özel sektörlerdeki bazı kullanıcılar da beklenmedik sistem kapanmaları nedeniyle verilerini kaybedebilir Veya zarar, sonuçları çok ciddidir.
Bilgisayara Sasser virüsü bulaşmış (Resim kaynağı: Baidu Library)
Dadong: Virüs bilgisayarın sık sık yeniden başlamasına neden olduğu için sebebini bilmeyen kullanıcılar çoğu zaman bunun anakart ve diğer donanım arızaları olduğundan şüpheleniyorlar.
Xiaobai: Virüs bilgisayar aracılığıyla nasıl yayılır?
Dadong: Endişelenme, sana bunu yavaş yavaş söyleyeceğim.
3. Büyük konuşmanın başlangıcı ve sonu
Dadong: Virüs çalışırken ağ üzerinde Win2K veya XP sistemli bilgisayarı bulmak için sürekli IP tarama teknolojisini kullanacak.Bulduktan sonra sisteme saldırmak için DCOM RPC tampon güvenlik açığını kullanacak.Saldırı başarılı olduktan sonra , virüs gövdesi karşı tarafa iletilecektir.Bilgisayardaki bulaşma, sistemin anormal çalışmasına, sürekli yeniden başlamasına ve hatta sistemin çökmesine neden olur.
Xiaobai: O zaman sistemi değiştirebilir miyim?
Dadong: Ayrıca virüs, Microsoft'un bir yükseltme web sitesine hizmet reddi saldırısı gerçekleştirerek web sitesinin engellenmesine ve kullanıcıların web sitesi aracılığıyla sistemi yükseltememesine neden olacak.
Xiaobai: Bu korkunç.
Dadong: Sistem yeniden başlatıldıktan sonra virüs gövdesinin yeniden çalıştırılabilmesini sağlamak için, yeni bir virüs gövdesi Sasser, kendisini mevcut işletim sisteminin sistem kök dizinine (\WINDOWS veya \WINNT) kopyalayacak ve anahtar değerini içine ekleyecektir. kayıt defteri .
Dadong: Enfeksiyon tamamlandıktan sonra, bilgisayara zaten virüs bulaşmışsa, yeni virüs bulaşmış virüs Jobaka3l adlı bir muteks tarafından algılanacak ve enfeksiyonu hemen durduracaktır.
Xiaobai: Ya ilk kez enfekte olsaydım?
Dadong: Virüs varlığı bilgisayara ilk kez bulaşıyorsa, 5554 numaralı bağlantı noktasını kullanarak bir FTP açar ve sonsuz bir yayılma döngüsü başlatmak için 128 iş parçacığı oluşturur.
Dadong: Yayılma işlemi sırasında, Sasser taramak ve saldırmak için yalnızca rastgele IP adresleri seçer. Ağ segmentindeki bir ana bilgisayara bulaştıktan sonra virüs, saldırı kapsamını rastgele olarak ağ segmentinin bir kısmına veya tamamına genişletecektir.
Xiaobai: Hepsi rastgele mi?
Dadong: Herhangi bir denemede, IP adresinin tamamen rastgele olma olasılığı yaklaşık %52 ve IP adresinin ilk 16 baytının yerel IP ile aynı olma olasılığı %25'tir. (son 8 bayt rastgeledir), kalan %23 şans, yerel IP'nin ilk 8 baytının kullanılmasıdır (kalan 24 bayt rastgeledir). Rastgele 8 bayt, özel bir işlev tarafından 0 ve 254'te rastgele oluşturulacaktır.
Xiaobai: Rastgele bir IP adresine başarılı bir şekilde bağlanırsanız, bu enfeksiyonun başarılı olduğu anlamına mı geliyor?
Dadong: Solucan, TCP bağlantı noktası 445'te rastgele oluşturulmuş bir IP adresiyle bilgisayar sistemine bağlanmaya çalışacak. Başarılı olursa, virüs diğer tarafın çalıştırdığı Windows sistem sürümünü doğrulamak için bir dizi veri paketi gönderecektir. İşletim sistemi sürümü seçildiğinde, Sasser solucanı LSA saldırı kodunu gönderecek ve komut satırından bir kabuk almak için 9996 numaralı TCP bağlantı noktasına bağlanmaya çalışacaktır. Başarılı olursa, virüs, solucanın yürütülebilir dosyasını indirmek ve çalıştırmak için kurban bilgisayarında aşağıdaki komutu yürütür.
Xiaobai: Daha önce bir şok dalgası virüsü varmış gibi görünüyor. İkisinin isimleri var gibi. İkisi arasındaki ilişki nedir?
Dadong: MSBlaster RPC DCOM solucanına benzer şekilde, Sasser, saldırmak ve kurban ana bilgisayarın komut satırı kabuğunu almaya çalışmak için genel bir LSA arabellek taşması istismar kodu kullanır.
Şok dalgası ve şok dalgası arasındaki fark (Resim kaynağı: Baidu Wenku)
Xiaobai: Fark nedir?
Dadong: İlk fark, istismar edilen boşlukların farklı olmasıdır.
Xiaobai: Sasser virüsü, sistemin LSASS hizmetini kullanır.
Dadong: Evet, bu hizmet, işletim sistemi tarafından kullanılan yerel güvenlik kimlik doğrulama alt sistemi hizmetidir.
Xiaobai: Şok dalgası hangi boşluğu kullandı?
Dadong: Shockwave virüsü, sistemin RPC güvenlik açığından yararlanır.Virüs sisteme saldırdığında, Windows işletim sistemi tarafından kullanılan bir uzaktan prosedür çağrı protokolü olan RPC hizmetini çökertir.
Xiaobai: Oh, oh, anlıyorum, başka bir fark var mı?
Dadong: İki bilgisayar virüsünün ürettiği dosyalar farklıdır.
Xiaobai: Sonunda hepsi .exe dosyaları.
Dadong: Evet, ancak shockwave virüsü çalışırken, bellekte msblast.exe adlı bir işlem oluşturulur ve sistem dizininde msblast.exe adlı bir virüs dosyası oluşturulur.Shockwave virüsü çalışırken, bir işlem Adlı msblast.exe bellekte oluşturulacaktır.avserve.exe işlemi sistem dizininde avserve.exe adlı bir virüs dosyası üretir.
Dadong: Ve iki virüsünün hedefleri ve portları farklı.
Xiaobai: Birçok farklılık var.
Dadong: Shockwave virüsü, RPC güvenlik açıklarına ve Microsoft yükseltme web sitesine sahip tüm bilgisayarlara saldırırken, Shockwave virüsü LSASS güvenlik açıklarına sahip tüm bilgisayarlara saldırır, ancak şu ana kadar başka web sitelerinde herhangi bir saldırı bulunmadı.
Xiaobai: Az önce kardeşimin açıklamasını dinledim ve Sasser virüsünün yerel olarak bir arka kapı açacağını, 5554 numaralı TCP bağlantı noktasını dinleyeceğini ve ardından uzaktan kumanda komutlarını beklemek için bir FTP sunucusu gibi davranacağını ve çılgınca bağlanmaya çalışacağını biliyorum. bağlantı noktası 445. Doğru?
Dadong: Bu doğru ve shockwave virüsü 69 numaralı bağlantı noktasını dinleyecek, bir TFTP sunucusunu simüle edecek ve bir saldırı yayma dizisi başlatacak, sürekli olarak rastgele saldırı adresleri oluşturacak ve yayılmak için RPC güvenlik açıklarına sahip olan 135 numaralı bağlantı noktasını kullanmaya çalışacak.
Xiaobai: Peki bunu nasıl önlemeliyiz?
Dördüncüsü, Xiaobai kalbinden söyledi - şok dalgası virüsünün önlenmesi
Xiaobai: Sasser virüsünün istilasını nasıl önlemeliyiz?
Dadong: Bilgisayarınızı koruyun. Mümkünse, bilgisayarınıza virüsün zararını sınırlayabilecek ve virüsün kaldırıldıktan sonra geri dönmemesini sağlayacak bir güvenlik duvarı kurun. Windows XP, Microsoft web sitesi (microsoft.com/security/protect) aracılığıyla kurulabilen ve Windows'un eski sürümlerinin kullanıcılarına güvenlik duvarının nasıl kurulacağını da söyleyen bir güvenlik duvarı ile birlikte gelir. Ayrıca güvenlik duvarları üçüncü şahıs firmalardan temin edilebilir ve Sasser bilgisayarınızın İnternet erişimini etkileyebileceğinden, bir güvenlik duvarı kurduktan sonra bilgisayarınıza virüs dönüp dönmediğini kontrol etmek için bir tarayıcı çalıştırmalısınız.
Güvenlik Duvarı (Resim kaynağı: Baidu Pictures)
Xiaobai: Başka önlemler var mı?
Dadong: Yeniden enfeksiyonu önlemek için. Bilgisayarınızı gelecekte başka virüslerden korumak için başka güvenlik düzeltme ekleri yükleyin. Sistem Geri Yükleme işlevinizi zamanından önce geri yüklememeye dikkat edin, ancak yalnızca virüs içermediğinden ve bilgisayarınızın gerektiği gibi korunduğundan emin olduktan sonra.
Xiaobai: Bir bilgisayar virüsü, diğer programların yaptığı her şeyi yapabilir, tek fark, kendisini başka bir programa eklemesi ve ana program çalışırken onu gizlice yürütmesidir. Virüs bir kez çalıştırıldığında, programları ve dosyaları silmek gibi son derece zararlı olan herhangi bir işlevi tamamlayabilir.
Dadong: Pek çok insan, sistemlerini düzenli olarak yükseltme ve bakımını yapma alışkanlığını henüz geliştirmedi; bu, birçok insanın yüksek virüs bulaşma oranlarından muzdarip olmasının nedenlerinden biridir. Virüs önleme konusunda iyi bir farkındalık geliştirdiğiniz ve virüsten koruma yazılımının koruma özelliklerine tam anlamıyla sahip olduğunuz sürece, çoğu virüsü tamamen dışarıda tutabilirsiniz.
5. O yıl ve o - Facebook'un kuruluşu
Dadong: Şubat 2004'te ünlü bir sosyal yazılımın piyasaya sürüldüğünü biliyor muydunuz?
Xiaobai: Bu benim için zor değil, Facebook.
Dadong: Evet.
Dadong: 4 Şubat 2004'te ünlü Harvard öğrencisi Mark Zuckerberg, facebook adında küçük bir sosyal ağ yayınladı. Facebook, kuruluşundan bu yana önemli bir büyüme yaşadı. Bugün, Forbes.com bize Facebook'un son on iki yılda sahip olduğu başlıca yeniden tasarımların ve yeni özelliklerin bir özetini sunuyor:
Facebook'un erken arayüzü (Resim kaynağı: Niuhua.com)
Dadong: Facebook'un orijinal yüzü aşağıdaki resimde görüldüğü gibidir. 1 milyar kullanıcıya sahip olmadan önce bu web sitesi sadece Harvard öğrencilerine açıktı. Ve zamanla, Facebook daha iyi ve daha iyi hale geldi.
