ब्लास्टर (कंप्यूटर वर्म): Difference between revisions
(Created page with "{{Short description|2003 Windows computer worm}} {{Infobox computer virus | fullname =Blaster | image = Virus Blaster.jpg | caption = Hex dump...") |
No edit summary |
||
(21 intermediate revisions by 5 users not shown) | |||
Line 1: | Line 1: | ||
{{Short description|2003 Windows computer worm}} | {{Short description|2003 Windows computer worm}} | ||
{{Infobox computer virus | {{Infobox computer virus | ||
| fullname = | | fullname =ब्लास्टर | ||
| image = Virus Blaster.jpg | | image = Virus Blaster.jpg | ||
| caption = [[ | | caption = [[हेक्स डंप]] ब्लास्टर वर्म का, प्रोग्रामर द्वारा [[माइक्रोसॉफ्ट]] संस्थापक [[बिल गेट्स]] के लिए त्यागा गया संदेश दिखा रहा है | ||
| common_name = | | common_name = | ||
| technical_name = | | technical_name = | ||
Line 28: | Line 28: | ||
Win32.Poza (CA) Blaster (Panda) | Win32.Poza (CA) Blaster (Panda) | ||
| aliases = | | aliases = लवसन, लवसन, एमएसब्लास्ट | ||
| family = | | family = | ||
| classification = | | classification = | ||
| type = [[Computer worm| | | type = [[Computer worm|वर्म]] | ||
| subtype = | | subtype = | ||
| isolation_date = 2004 | | isolation_date = 2004 | ||
| origin = | | origin = मिनेसोटा (केवल B संस्करण) | ||
| infection_vector = | | infection_vector = | ||
| author = | | author = जेफरी ली पार्सन (B संस्करण केवल) | ||
| ports_used = [[ | | ports_used = [[सुदूर प्रणाली संदेश]] | ||
| OS = [[ | | OS = [[विंडोज़ XP]] एवं [[विंडोज़ 2000]] | ||
| filesize = | | filesize = | ||
| language = | | language = | ||
| discontinuation_date = | | discontinuation_date = | ||
}} | }} | ||
ब्लास्टर (जिसे लव, लव या | '''ब्लास्टर''' (जिसे लव, लव या एमएस ब्लास्ट के नाम से भी जाना जाता है) [[कंप्यूटर कीड़ा]] है जो अगस्त 2003 के समय [[ऑपरेटिंग सिस्टम|ऑपरेटिंग प्रणाली]] [[ विन्डोज़ एक्सपी | विन्डोज़ एक्सपी (XP)]] एवं [[विंडोज 2000]] चलाने वाले कंप्यूटरों पर विस्तृत हो गया।<ref>{{cite web |url=http://www.cert.org/advisories/CA-2003-20.html |title=CERT Advisory CA-2003-20: W32/Blaster worm |publisher=CERT/CC |date=2003-08-14 |url-status=dead |archive-url=https://web.archive.org/web/20141017130853/http://www.cert.org/historical/advisories/CA-2003-20.cfm |archive-date=2014-10-17 |access-date=2018-11-03}}</ref> कृमि पूर्व बार देखा गया था एवं 11 अगस्त, 2003 को विस्तृत होना प्रारम्भ हुआ था। इसके विस्तृत होने की दर 13 अगस्त, 2003 को संक्रमण की संख्या के शिखर पर पहुंचने तक बढ़ी। नेटवर्क (जैसे कि कंपनी या विश्वविद्यालय) संक्रमित हो गया, तो यह तीव्रता से विस्तृत हो गया नेटवर्क के अंदर क्योंकि फ़ायरवॉल सामान्यतः आंतरिक मशीनों को निश्चित पोर्ट का उपयोग करने से नहीं रोकते थे।<ref name="support.microsoft.com">{{cite web |title=MS03-026: Buffer Overrun in RPC May Allow Code Execution |url=https://support.microsoft.com/en-us/help/823980/ms03-026-buffer-overrun-in-rpc-may-allow-code-execution |publisher=Microsoft Corporation |work=Microsoft Support |access-date=2018-11-03}}</ref> आईएसपी द्वारा निस्पंदन एवं वर्म के विषय में व्यापक प्रचार ने ब्लास्टर के प्रसार को रोक दिया। | ||
कृमि | |||
सितंबर 2003 में, हॉपकिंस, मिनेसोटा के | सितंबर 2003 में, हॉपकिंस, मिनेसोटा के 18 वर्षीय जेफरी ली पार्सन को ब्लास्टर वर्म का B संस्करण बनाने के लिए अभियोग लगाया गया था; उन्होंने उत्तरदायित्व स्वीकार किया एवं जनवरी 2005 में उन्हें 18 महीने की जेल की सजा सुनाई गई।<ref name="infoworld">{{cite web |date=2005-01-28 |url=https://www.justice.gov/archive/criminal/cybercrime/press-releases/2005/parsonSent.htm|title=Minnesota Man Sentenced to 18 Months in Prison for Creating and Unleashing a Variant of the MS Blaster Computer Worm|publisher=[[United States Department of Justice]] |access-date=2021-02-17}}</ref> मूल A संस्करण का लेखक अज्ञात रहता है। | ||
== निर्माण | == निर्माण एवं प्रभाव == | ||
अदालती | अदालती प्रपत्रो के अनुसार, मूल ब्लास्टर चीनी समूह के सुरक्षा शोधकर्ताओं के पश्चात बनाया गया था। {{Proper name| | ||
पोलिश सुरक्षा अनुसंधान समूह | एक्सफोकस}} आक्रमण के निष्पादन के लिए अनुमति देने वाले मूल माइक्रोसॉफ्ट पैच को [[रिवर्स इंजीनियरिंग]] करें।<ref>{{cite web |first=Iain |last=Thomson |url=http://www.vnunet.com/vnunet/news/2123165/fbi-arrests-stupid-blaster-b-suspect |title=एफबीआई ने 'बेवकूफ' ब्लास्टर बी को गिरफ्तार किया|publisher=[[Incisive Media|vnunet.com]] |date=2003-09-01 |url-status=dead |archive-url=https://web.archive.org/web/20081101140521/http://www.vnunet.com/vnunet/news/2123165/fbi-arrests-stupid-blaster-b-suspect |archive-date=2008-11-01 |access-date=2018-11-03}}</ref> पोलिश सुरक्षा अनुसंधान समूह प्रलाप के अंतिम चरण द्वारा संशोधन किये गए [[ बफ़र अधिकता ]] का लाभ उठाकर कीड़ा विस्तृतता होती है।<ref name="able2know">{{cite web |url=https://able2know.org/topic/10489-1 |title=MSBlast W32.Blaster.Worm / LovSan :: removal instructions |publisher=able2know.org |date=2003-08-12 |access-date=2018-11-03}}</ref> प्रभावित ऑपरेटिंग प्रणाली पर वितरित घटक वस्तु प्रतिरूप [[सुदूर प्रणाली संदेश]] सेवा में, जिसके लिए MS03-026 [https://docs.microsoft.com/en-us/security-updates/securitybulletins/2003/] में महीने पूर्व एवं पश्चात में पैच निर्धारित किया गया था। [https://docs.microsoft.com/en-us/security-updates/securitybulletins/2003/ms03-039 MS03-039] इसने कृमि को बड़ी संख्या में यादृच्छिक आईपी स्थानों पर स्वयं को स्पैमिंग करके उपयोगकर्ताओं के बिना संलग्नक खोलने की अनुमति दी। जंगली में चार संस्करण पाए गए हैं।<ref name="Symantec">{{cite web |url=https://www.symantec.com/security-center/writeup/2003-081113-0229-99 |title=W32.Blaster.Worm |publisher=Symantec |date=2003-12-09 |access-date=2018-11-03}}</ref> ये आरपीसी में मूल दोष के सबसे प्रसिद्ध कर्म हैं, किन्तु वास्तव में 12 अन्य भेद्यताएं थीं, जिन पर मीडिया का उतना ध्यान नहीं गया।<ref name="ISSLifecycle">{{cite web |title=एक भेद्यता का जीवनचक्र|year=2005 |publisher=internet Security Systems, Inc. |url=http://www.iss.net/documents/whitepapers/ISS_Vulnerability_Lifecycle_Whitepaper.pdf |url-status=dead |archive-url=https://web.archive.org/web/20161224172843/http://www.iss.net/documents/whitepapers/ISS_Vulnerability_Lifecycle_Whitepaper.pdf |archive-date=2016-12-24 |access-date=2018-11-03}}</ref> वर्म को (माइक्रोसॉफ्ट विंडोज़ अपडेट डॉट कॉम) Microsoft Update windowsupdate.com के पोर्ट 80 के विरुद्ध SYN बाढ़ प्रारम्भ करने के लिए प्रोग्राम किया गया था। यदि प्रणाली की तिथि 15 अगस्त के पश्चात एवं 31 दिसंबर से पूर्व एवं अन्य महीनों के 15वें दिन के पश्चात है, जिससे [[सेवा हमले के वितरित इनकार]] (DDoS) का निर्माण होता है )<ref name="Symantec" /> माइक्रोसॉफ्ट की हानि न्यूनतम थी, क्योंकि लक्षित साइट windowsupdate.microsoft.com के अतिरिक्त windowsupdate.com थी, जिस पर पूर्व को पुनर्निर्देशित किया गया था। वर्म से होने वाले संभावित प्रभावों को अर्घ्य करने के लिए माइक्रोसॉफ्ट अस्थायी रूप से लक्षित साइट को संवृत कर देता है। | ||
वर्म को Microsoft Update | |||
कृमि का निष्पादन योग्य, | कृमि का निष्पादन योग्य, एमएसब्लास्ट.exe,<ref>{{cite web |url=https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Worm:Win32/Msblast.A |access-date=2018-11-03 |title=Worm:Win32/Msblast.A |publisher=Microsoft Corporation}}</ref> में दो संदेश सम्मिलित हैं। प्रथम पढ़ता है। | ||
मैं सिर्फ लव यू सैन कहना चाहता हूं। | |||
मैं सिर्फ लव यू सैन कहना चाहता | |||
इस संदेश ने कृमि को लवसन का वैकल्पिक नाम दिया। दूसरा पढ़ता | इस संदेश ने कृमि को लवसन का वैकल्पिक नाम दिया। दूसरा पढ़ता है। | ||
बिली गेट्स आप इसे क्यों संभव बनाते हैं? धन कमाना संवृत करो<br /> एवं स्वयं के सॉफ्टवेयर को ठीक करें !! | |||
बिली गेट्स आप इसे क्यों संभव बनाते हैं ? | |||
यह | यह माइक्रोसॉफ्ट के सह-संस्थापक एवं कृमि के लक्ष्य [[बिल गेट्स]] के लिए संदेश है। | ||
कीड़ा निम्न रजिस्ट्री प्रविष्टि भी बनाता है | कीड़ा निम्न रजिस्ट्री प्रविष्टि भी बनाता है, जिससे यह प्रत्येक बार विंडोज के प्रारम्भ होने पर प्रारम्भ हो जाए। | ||
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ विंडोज़ ऑटो अपडेट = msblast.exe | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ विंडोज़ ऑटो अपडेट = msblast.exe | ||
== समयरेखा == | == समयरेखा == | ||
*28 मई, 2003: माइक्रोसॉफ्ट ने | *28 मई, 2003: माइक्रोसॉफ्ट ने पैच निर्धारित किया, जो उपयोगकर्ताओं को [[ वेलचिया ]] द्वारा उपयोग किए जाने वाले (वेबडाव) WebDAV में शोषण से बचाएगा। (वेल्चिया ने एमएसब्लास्ट के समान शोषण का उपयोग किया था, किन्तु प्रचार की अतिरिक्त प्रविधि थी, जो इस पैच में निर्धारित की गयी थी। इस विधि का उपयोग केवल 200,000 RPC DCOM आक्रमणों के पश्चात किया गया था - एमएसब्लास्ट द्वारा उपयोग किया जाने वाला रूप।)<ref>{{cite web |title=वेल्चिया वर्म|pages=14, 17 |url=https://www.giac.org/paper/gcih/517/welchia-worm/105720 |format=PDF |date=2003-12-18 |first=Gene |last=Bransfield |access-date=2018-11-03}}</ref><ref>{{cite web |title=Buffer Overrun in Windows Kernel Message Handling could Lead to Elevated Privileges (811493) |url=https://docs.microsoft.com/en-us/security-updates/securitybulletins/2003/ms03-013 |access-date=2018-11-03}}</ref> | ||
*5 जुलाई 2003: माइक्रोसॉफ्ट द्वारा 16 | *5 जुलाई 2003: माइक्रोसॉफ्ट द्वारा दिनांक 16 को निर्धारित पैच के लिए टाइमस्टैम्प होता है।<ref name="support.microsoft.com"/> | ||
*16 जुलाई, 2003: माइक्रोसॉफ्ट ने | *16 जुलाई, 2003: माइक्रोसॉफ्ट ने पैच निर्धारित किया जो अभी तक अज्ञात एमएसब्लास्ट से उपयोगकर्ताओं की रक्षा करेगा। साथ ही उन्होंने शोषण का वर्णन करते हुए बुलेटिन भी निर्धारित किया।<ref name="support.microsoft.com"/><ref>{{cite web |title=Microsoft Windows RPC कार्यान्वयन में दोष|url=http://www.iss.net/threats/147.html |date=2003-07-16 |url-status=dead |archive-url=https://web.archive.org/web/20160304023343/http://www.iss.net/threats/147.html |archive-date=2016-03-04}}</ref> | ||
*16 जुलाई, 2003 के | *16 जुलाई, 2003 के निकट: व्हाइट हैट हैकर्स प्रूफ-ऑफ-कॉन्सेप्ट कोड बनाते हैं, जो सत्यापित करते हैं कि पैच न किए गए प्रणाली शक्तिहीन हैं। कोड निर्धारित नहीं किया गया था।<ref name="able2know" />*17 जुलाई, 2003: CERT/CC ने उपदेश निर्धारित किया एवं पोर्ट 135 को ब्लॉक करने का विचार दिया।<ref name="cert.org">{{cite web |url=http://www.cert.org/historical/advisories/CA-2003-16.cfm |title=माइक्रोसॉफ्ट आरपीसी में बफर ओवरफ्लो|url-status=dead |archive-url=https://web.archive.org/web/20140715013109/http://www.cert.org/historical/advisories/CA-2003-16.cfm |archive-date=2014-07-15 |date=2003-08-08 |access-date=2018-11-03}}</ref> | ||
*21 जुलाई, 2003: | *21 जुलाई, 2003: CERT/CC ने पोर्ट्स 139 एवं 445 को भी ब्लॉक करने का विचार दिया।<ref name="cert.org"/>*25 जुलाई 2003: {{Proper name|xFocus}} RPC बग का उपयोग करने के विषय में जानकारी निर्धारित करता है जिसे ठीक करने के लिए माइक्रोसॉफ्ट ने 16 जुलाई का पैच निर्धारित किया था।<ref>{{cite web|title=विंडोज आरपीसी इंटरफेस में एलएसडी के बफर ओवररन का विश्लेषण|url=http://www.xfocus.org/documents/200307/2.html |date=2003-07-25 |url-status=dead |archive-url=https://web.archive.org/web/20180217063837/http://www.xfocus.org/documents/200307/2.html |archive-date=2018-02-17 |access-date=2018-11-03}}</ref> | ||
*1 अगस्त, 2003: | *1 अगस्त, 2003: U.S. ने RPC बग का शोषण करने वाले मैलवेयर के शोध में रहने के लिए उपदेश निर्धारित किया।<ref name="able2know" />*11 अगस्त 2003 से कुछ समय पूर्व RPC शोषण का उपयोग करने वाले अन्य वायरस उपस्थित हैं।<ref name="ISSLifecycle" />* 11 अगस्त, 2003: वर्म का मूल संस्करण इंटरनेट पर दिखाई दिया।<ref name="infoworld.com">{{cite news |title=फैल रहा है ब्लास्टर वर्म, विशेषज्ञों ने दी हमले की चेतावनी|url=https://www.infoworld.com/article/2677291/security/blaster-worm-spreading--experts-warn-of-attack.html |date=2003-08-12 |first=Paul F. |last=Roberts |newspaper=InfoWorld |access-date=2018-11-03}}</ref> | ||
*11 अगस्त, 2003: सिमेंटेक एंटीवायरस | *11 अगस्त, 2003: सिमेंटेक एंटीवायरस त्वरित प्रमोचन सुरक्षा अद्यतन निर्धारित करता है।<ref name="Symantec" />*11 अगस्त 2003, शाम: एंटीवायरस एवं सुरक्षा फर्मों ने विंडोज अपडेट चलाने के लिए अलर्ट निर्धारित किए।<ref name="infoworld.com"/>*12 अगस्त 2003: संक्रमित प्रणालियों की संख्या 30,000 बताई गई है।<ref name="infoworld.com"/>* 13 अगस्त 2003: दो नए कीड़े प्रकट हुए एवं विस्तृत होने लगे। (सोफोस, एमएसब्लास्ट का प्रकार एवं W32/RpcSpybot-A, पूर्ण रूप से नया कीड़ा जो समान शोषण का उपयोग करता है) <ref>{{cite web |title=नया ब्लास्टर वर्म संस्करण जारी है|url=https://www.infoworld.com/article/2677200/application-development/new-blaster-worm-variant-on-the-loose.html |date=2003-08-13 |first=Paul F. |last=Roberts |publisher=InfoWorld |access-date=2018-11-03}}</ref> | ||
*15 अगस्त 2003: संक्रमित प्रणालियों की संख्या 423,000 बताई गई है।<ref>{{cite web |title=ब्लास्टर वर्म बस्ट पर हमला करता है|url=https://www.infoworld.com/article/2677039/security/blaster-worm-attack-a-bust.html |date=2003-08-18 |first=Paul F. |last=Roberts |publisher=InfoWorld |access-date=2018-11-03}}</ref> | *15 अगस्त 2003: संक्रमित प्रणालियों की संख्या 423,000 बताई गई है।<ref>{{cite web |title=ब्लास्टर वर्म बस्ट पर हमला करता है|url=https://www.infoworld.com/article/2677039/security/blaster-worm-attack-a-bust.html |date=2003-08-18 |first=Paul F. |last=Roberts |publisher=InfoWorld |access-date=2018-11-03}}</ref> | ||
*16 अगस्त 2003: windowsupdate.com के | *16 अगस्त 2003: windowsupdate.com के विरुद्ध DDoS आक्रमण प्रारम्भ (अधिकतम सीमा तक असफल क्योंकि वह URL केवल वास्तविक साइट, windowsupdate.microsoft.com पर पुननिर्देशित है।)<ref name="infoworld.com"/>*18 अगस्त, 2003: माइक्रोसॉफ्ट ने एमएसब्लास्ट एवं इसके प्रकारों के विषय में अलर्ट निर्धारित किया।<ref>{{cite web |title=ब्लास्टर वर्म और इसके प्रकारों के बारे में वायरस अलर्ट|url=https://support.microsoft.com/en-us/help/826955 |publisher=Microsoft Corporation |work=Microsoft Support |access-date=2018-11-03}}</ref> | ||
* 18 अगस्त, 2003: संबंधित एंटी-वर्म, वेल्चिया, इंटरनेट पर दिखाई देता है।<ref name="SymantecWelchia">{{cite web |title=W32.Welchia.Worm |url=https://www.symantec.com/security-center/writeup/2003-081815-2308-99 |date=2017-08-11 |access-date=2018-11-03 |publisher=Symantec}}</ref> | * 18 अगस्त, 2003: संबंधित एंटी-वर्म, वेल्चिया, इंटरनेट पर दिखाई देता है।<ref name="SymantecWelchia">{{cite web |title=W32.Welchia.Worm |url=https://www.symantec.com/security-center/writeup/2003-081815-2308-99 |date=2017-08-11 |access-date=2018-11-03 |publisher=Symantec}}</ref> | ||
* 19 अगस्त 2003: सिमेंटेक ने वेल्चिया के | * 19 अगस्त 2003: सिमेंटेक ने वेल्चिया के स्वयं संकट मूल्यांकन को उच्च (श्रेणी 4) में उन्नत किया।<ref>{{cite news |last=Naraine |first=Ryan |title='दोस्ताना' वेल्चिया वर्म कहर बरपा रहा है|url=http://www.internetnews.com/ent-news/article.php/3065761/Friendly+Welchia+Worm+Wreaking+Havoc.htm |access-date=2018-11-03 |publisher=InternetNews.com |date=2003-08-19}}</ref> | ||
*25 अगस्त 2003: McAfee ने | *25 अगस्त 2003: McAfee ने स्वयं संकट आकलन को घटाकर मध्यम कर दिया।<ref name="Virus Profile: W32/Lovsan.worm.a">{{cite web |title=Virus Profile: W32/Lovsan.worm.a |url=https://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=100547 |date=2003-08-11 |publisher=[[McAfee]] |access-date=2018-11-03}}</ref> | ||
* 27 अगस्त, 2003: वर्म के | * 27 अगस्त, 2003: वर्म के प्रकार में HP के विरुद्ध संभावित DDoS आक्रमण का शोध किया गया।<ref name="Symantec" />*1 जनवरी 2004: वेल्चिया ने स्वयं को विस्थापित कर दिया।<ref name="SymantecWelchia" />*13 जनवरी 2004: माइक्रोसॉफ्ट ने एमएसब्लास्ट वर्म एवं इसके रूपों को विस्थापित करने के लिए एकाकी उपकरण निर्धारित किया।<ref>{{cite web|title=A tool is available to remove Blaster worm and Nachi worm infections from computers that are running Windows 2000 or Windows XP |url=http://support.microsoft.com/kb/833330 |url-status=dead |archive-url=https://web.archive.org/web/20140806204101/http://support.microsoft.com/kb/833330 |archive-date=2014-08-06 |publisher=Microsoft Corporation |work=Microsoft Support |access-date=2018-11-03}}</ref> | ||
* 15 फरवरी, 2004: संबंधित कृमि वेलचिया का | * 15 फरवरी, 2004: संबंधित कृमि वेलचिया का प्रकार इंटरनेट पर शोध किया गया है।<ref>{{cite web |title=W32.Welchia.C.Worm |url=https://www.symantec.com/security-center/writeup/2004-021513-4624-99 |publisher=Symantec |date=2007-02-13 |access-date=2018-11-03}}</ref> | ||
*26 फरवरी, 2004: सिमेंटेक ने वेल्चिया वर्म के | *26 फरवरी, 2004: सिमेंटेक ने वेल्चिया वर्म के स्वयं संकट मूल्यांकन को अर्घ्य कर दिया (श्रेणी 2)।<ref name="SymantecWelchia" /> | ||
*12 मार्च 2004: McAfee ने | *12 मार्च 2004: McAfee ने स्वयं संकट आकलन को घटाकर निम्न कर दिया।<ref name= "Virus Profile: W32/Lovsan.worm.a"/> | ||
*21 अप्रैल, 2004: | *21 अप्रैल, 2004: अन्य प्रकार का शोध किया गया। | ||
*28 जनवरी, 2005: | *28 जनवरी, 2005: एमएसब्लास्टर के "B" वेरिएंट के निर्माता को 18 महीने जेल की सजा सुनाई गई है।<ref>{{cite web |title=Minnesota Man Sentenced to 18 Months in Prison for Creating and Unleashing a Variant of the MS Blaster Computer Worm|url=https://www.justice.gov/criminal/cybercrime/press-releases/2005/parsonSent.htm |date=2005-01-28 |url-status=dead |archive-url=https://web.archive.org/web/20140714174209/http://www.justice.gov/criminal/cybercrime/press-releases/2005/parsonSent.htm |archive-date=2014-07-14 |access-date=2018-11-03}}</ref> | ||
== दुष्प्रभाव == | == दुष्प्रभाव == | ||
चूंकि वर्म केवल Windows 2000 या Windows XP चलाने वाले प्रणाली पर विस्तृत हो सकता है, यह [[Windows NT|विंडोज NT]] के अन्य संस्करणों को चलाने वाले प्रणाली पर RPC सेवा में अस्थिरता उत्पन्न कर सकता है, जिसमें [[Windows Server 2003|विंडोज सर्वर 2003]] एवं विंडोज XP प्रोफेशनल x64 संस्करण सम्मिलित हैं। विशेष रूप से, वर्म विंडोज सर्वर 2003 में विस्तृत नहीं होता है, क्योंकि विंडोज सर्वर 2003 को /GS स्विच के साथ संकलित किया गया था, जिसने अंतर्रोधी अधिकता की जानकारी प्राप्त की गयी एवं RPCSS प्रक्रिया को संवृत कर दिया।<ref>{{cite web |url=https://blogs.msdn.microsoft.com/michael_howard/2004/05/23/why-blaster-did-not-infect-windows-server-2003/ |title=Why Blaster did not infect Windows Server 2003 |publisher=Microsoft Corporation |work=Microsoft Developer |first=Michael |last=Howard |date=2004-05-23 |access-date=2018-11-03}}</ref> जब संक्रमण होता है, तो अंतर्रोधी अधिकता RPC सेवा को ध्वस्त करने का कारण बनता है, जिससे विंडोज़ निम्न संदेश प्रदर्शित करता है एवं तत्पश्चात स्वचालित रूप से 60 सेकंड के पश्चात स्वचालित रूप से रीबूट होता है।<ref>{{cite web |url=https://www.trendmicro.com/vinfo/us/threat-encyclopedia/archive/malware/worm_msblast.a |title=Worm_MSBlast.A |publisher=TrendMicro.com |access-date=2018-11-03}}</ref> | |||
{{cquote|1= | {{cquote|1=प्रणाली समापन | ||
यह तंत्र संवृत हो रहा है। कृपया सभी कार्य प्रगति पर सहेजें एवं लॉग संवृत करें। कोई भी न सहेजा गया परिवर्तन विलुप्त जाएगा। यह शटडाउन एनटी द्वारा प्रारम्भ किया गया था।प्राधिकरण \ प्रणाली | |||
शटडाउन से पूर्व का समय: घंटे: मिनट: सेकंड | |||
संदेश: | |||
विंडोज़को अब पुनरारंभ करना होगा, क्योंकि दूरस्थ प्रक्रिया कॉल (RPC) सेवा अनपेक्षित रूप से समाप्त हो गई है। | |||
}} | }} | ||
यह | यह प्रथम संकेत था, कि कई उपयोगकर्ताओं को संक्रमण हुआ था; निराकरण मशीनों पर प्रत्येक प्रारम्भ के कुछ मिनट पश्चात यह प्रायः होता है। काउंटडाउन को रोकने का सरल संकल्प है शटडाउन/a आदेश चलाना,<ref>{{cite web |url=http://h10025.www1.hp.com/ewfrf/wc/document?cc=us&docname=c00035757&lc=en |title=Blaster Worm-Virus or Its Variants Cause the Computer to Shutdown with an NT AUTHORITY\SYSTEM Error Message Regarding Remote Procedure Call (RPC) Service |publisher=[[Hewlett-Packard|HP]] |work=HP Consumer Support |url-status=dead |archive-url=https://web.archive.org/web/20141110185841/http://h10025.www1.hp.com/ewfrf/wc/document?cc=us&docname=c00035757&lc=en |archive-date=2014-11-10 |access-date=2018-11-03}}</ref> रिक्त (उपयोगकर्ताओं के बिना) स्वागत आवरण जैसे कुछ दुष्प्रभाव उत्पन्न कर रहा है।<ref>{{cite web |title=विस्फ़ोटक कीड़ा|url=https://www.techopedia.com/definition/27295/blaster-worm |publisher=Techopedia |access-date=2018-11-03}}</ref> वेल्चिया वर्म का समान प्रभाव था। महीनों पश्चात, सैसर (कंप्यूटर वर्म) सामने आया, जिसके कारण समान संदेश दिखाई दिया। | ||
== यह भी देखें == | == यह भी देखें == | ||
Line 122: | Line 110: | ||
* सहायक कीड़ा | * सहायक कीड़ा | ||
* [[ऑपरेशन तोवर]] | * [[ऑपरेशन तोवर]] | ||
* वेल्चिया | * वेल्चिया (कंप्यूटर वर्म) | ||
* सैसर (कंप्यूटर वर्म) | * सैसर (कंप्यूटर वर्म) | ||
* [[स्पैम (इलेक्ट्रॉनिक)]] | * [[स्पैम (इलेक्ट्रॉनिक)]] | ||
* [[कंप्यूटर वायरस | * [[कंप्यूटर वायरस एवं वर्म्स की समयरेखा]] | ||
* [[टिनी बैंकर ट्रोजन]] | * [[टिनी बैंकर ट्रोजन]] | ||
* [[टॉरपिग]] | * [[टॉरपिग]] | ||
Line 138: | Line 126: | ||
{{Hacking in the 2000s|collapsed}} | {{Hacking in the 2000s|collapsed}} | ||
[[Category: | [[Category:2000 के दशक में हैकिंग]] | ||
[[Category:Collapse templates]] | |||
[[Category:Created On 11/05/2023]] | [[Category:Created On 11/05/2023]] | ||
[[Category:Lua-based templates]] | |||
[[Category:Machine Translated Page]] | |||
[[Category:Multi-column templates]] | |||
[[Category:Navigational boxes| ]] | |||
[[Category:Navigational boxes without horizontal lists]] | |||
[[Category:Pages using div col with small parameter]] | |||
[[Category:Pages with reference errors]] | |||
[[Category:Pages with script errors]] | |||
[[Category:Short description with empty Wikidata description]] | |||
[[Category:Sidebars with styles needing conversion]] | |||
[[Category:Template documentation pages|Documentation/doc]] | |||
[[Category:Templates Vigyan Ready]] | |||
[[Category:Templates generating microformats]] | |||
[[Category:Templates that add a tracking category]] | |||
[[Category:Templates that are not mobile friendly]] | |||
[[Category:Templates that generate short descriptions]] | |||
[[Category:Templates using TemplateData]] | |||
[[Category:Templates using under-protected Lua modules]] | |||
[[Category:Wikipedia fully protected templates|Div col]] | |||
[[Category:Wikipedia metatemplates]] | |||
[[Category:विंडोज मैलवेयर]] | |||
[[Category:शोषण-आधारित कीड़े]] |
Latest revision as of 15:48, 30 October 2023
Technical name | As Blaster
As Lovsan As MSBLAST
|
---|---|
Aliases | लवसन, लवसन, एमएसब्लास्ट |
Type | वर्म |
Isolation | 2004 |
Point of origin | मिनेसोटा (केवल B संस्करण) |
Author(s) | जेफरी ली पार्सन (B संस्करण केवल) |
Port(s) used | सुदूर प्रणाली संदेश |
Operating system(s) affected | विंडोज़ XP एवं विंडोज़ 2000 |
ब्लास्टर (जिसे लव, लव या एमएस ब्लास्ट के नाम से भी जाना जाता है) कंप्यूटर कीड़ा है जो अगस्त 2003 के समय ऑपरेटिंग प्रणाली विन्डोज़ एक्सपी (XP) एवं विंडोज 2000 चलाने वाले कंप्यूटरों पर विस्तृत हो गया।[1] कृमि पूर्व बार देखा गया था एवं 11 अगस्त, 2003 को विस्तृत होना प्रारम्भ हुआ था। इसके विस्तृत होने की दर 13 अगस्त, 2003 को संक्रमण की संख्या के शिखर पर पहुंचने तक बढ़ी। नेटवर्क (जैसे कि कंपनी या विश्वविद्यालय) संक्रमित हो गया, तो यह तीव्रता से विस्तृत हो गया नेटवर्क के अंदर क्योंकि फ़ायरवॉल सामान्यतः आंतरिक मशीनों को निश्चित पोर्ट का उपयोग करने से नहीं रोकते थे।[2] आईएसपी द्वारा निस्पंदन एवं वर्म के विषय में व्यापक प्रचार ने ब्लास्टर के प्रसार को रोक दिया।
सितंबर 2003 में, हॉपकिंस, मिनेसोटा के 18 वर्षीय जेफरी ली पार्सन को ब्लास्टर वर्म का B संस्करण बनाने के लिए अभियोग लगाया गया था; उन्होंने उत्तरदायित्व स्वीकार किया एवं जनवरी 2005 में उन्हें 18 महीने की जेल की सजा सुनाई गई।[3] मूल A संस्करण का लेखक अज्ञात रहता है।
निर्माण एवं प्रभाव
अदालती प्रपत्रो के अनुसार, मूल ब्लास्टर चीनी समूह के सुरक्षा शोधकर्ताओं के पश्चात बनाया गया था। एक्सफोकस आक्रमण के निष्पादन के लिए अनुमति देने वाले मूल माइक्रोसॉफ्ट पैच को रिवर्स इंजीनियरिंग करें।[4] पोलिश सुरक्षा अनुसंधान समूह प्रलाप के अंतिम चरण द्वारा संशोधन किये गए बफ़र अधिकता का लाभ उठाकर कीड़ा विस्तृतता होती है।[5] प्रभावित ऑपरेटिंग प्रणाली पर वितरित घटक वस्तु प्रतिरूप सुदूर प्रणाली संदेश सेवा में, जिसके लिए MS03-026 [1] में महीने पूर्व एवं पश्चात में पैच निर्धारित किया गया था। MS03-039 इसने कृमि को बड़ी संख्या में यादृच्छिक आईपी स्थानों पर स्वयं को स्पैमिंग करके उपयोगकर्ताओं के बिना संलग्नक खोलने की अनुमति दी। जंगली में चार संस्करण पाए गए हैं।[6] ये आरपीसी में मूल दोष के सबसे प्रसिद्ध कर्म हैं, किन्तु वास्तव में 12 अन्य भेद्यताएं थीं, जिन पर मीडिया का उतना ध्यान नहीं गया।[7] वर्म को (माइक्रोसॉफ्ट विंडोज़ अपडेट डॉट कॉम) Microsoft Update windowsupdate.com के पोर्ट 80 के विरुद्ध SYN बाढ़ प्रारम्भ करने के लिए प्रोग्राम किया गया था। यदि प्रणाली की तिथि 15 अगस्त के पश्चात एवं 31 दिसंबर से पूर्व एवं अन्य महीनों के 15वें दिन के पश्चात है, जिससे सेवा हमले के वितरित इनकार (DDoS) का निर्माण होता है )[6] माइक्रोसॉफ्ट की हानि न्यूनतम थी, क्योंकि लक्षित साइट windowsupdate.microsoft.com के अतिरिक्त windowsupdate.com थी, जिस पर पूर्व को पुनर्निर्देशित किया गया था। वर्म से होने वाले संभावित प्रभावों को अर्घ्य करने के लिए माइक्रोसॉफ्ट अस्थायी रूप से लक्षित साइट को संवृत कर देता है।
कृमि का निष्पादन योग्य, एमएसब्लास्ट.exe,[8] में दो संदेश सम्मिलित हैं। प्रथम पढ़ता है।
मैं सिर्फ लव यू सैन कहना चाहता हूं।
इस संदेश ने कृमि को लवसन का वैकल्पिक नाम दिया। दूसरा पढ़ता है।
बिली गेट्स आप इसे क्यों संभव बनाते हैं? धन कमाना संवृत करो
एवं स्वयं के सॉफ्टवेयर को ठीक करें !!
यह माइक्रोसॉफ्ट के सह-संस्थापक एवं कृमि के लक्ष्य बिल गेट्स के लिए संदेश है।
कीड़ा निम्न रजिस्ट्री प्रविष्टि भी बनाता है, जिससे यह प्रत्येक बार विंडोज के प्रारम्भ होने पर प्रारम्भ हो जाए।
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ विंडोज़ ऑटो अपडेट = msblast.exe
समयरेखा
- 28 मई, 2003: माइक्रोसॉफ्ट ने पैच निर्धारित किया, जो उपयोगकर्ताओं को वेलचिया द्वारा उपयोग किए जाने वाले (वेबडाव) WebDAV में शोषण से बचाएगा। (वेल्चिया ने एमएसब्लास्ट के समान शोषण का उपयोग किया था, किन्तु प्रचार की अतिरिक्त प्रविधि थी, जो इस पैच में निर्धारित की गयी थी। इस विधि का उपयोग केवल 200,000 RPC DCOM आक्रमणों के पश्चात किया गया था - एमएसब्लास्ट द्वारा उपयोग किया जाने वाला रूप।)[9][10]
- 5 जुलाई 2003: माइक्रोसॉफ्ट द्वारा दिनांक 16 को निर्धारित पैच के लिए टाइमस्टैम्प होता है।[2]
- 16 जुलाई, 2003: माइक्रोसॉफ्ट ने पैच निर्धारित किया जो अभी तक अज्ञात एमएसब्लास्ट से उपयोगकर्ताओं की रक्षा करेगा। साथ ही उन्होंने शोषण का वर्णन करते हुए बुलेटिन भी निर्धारित किया।[2][11]
- 16 जुलाई, 2003 के निकट: व्हाइट हैट हैकर्स प्रूफ-ऑफ-कॉन्सेप्ट कोड बनाते हैं, जो सत्यापित करते हैं कि पैच न किए गए प्रणाली शक्तिहीन हैं। कोड निर्धारित नहीं किया गया था।[5]*17 जुलाई, 2003: CERT/CC ने उपदेश निर्धारित किया एवं पोर्ट 135 को ब्लॉक करने का विचार दिया।[12]
- 21 जुलाई, 2003: CERT/CC ने पोर्ट्स 139 एवं 445 को भी ब्लॉक करने का विचार दिया।[12]*25 जुलाई 2003: xFocus RPC बग का उपयोग करने के विषय में जानकारी निर्धारित करता है जिसे ठीक करने के लिए माइक्रोसॉफ्ट ने 16 जुलाई का पैच निर्धारित किया था।[13]
- 1 अगस्त, 2003: U.S. ने RPC बग का शोषण करने वाले मैलवेयर के शोध में रहने के लिए उपदेश निर्धारित किया।[5]*11 अगस्त 2003 से कुछ समय पूर्व RPC शोषण का उपयोग करने वाले अन्य वायरस उपस्थित हैं।[7]* 11 अगस्त, 2003: वर्म का मूल संस्करण इंटरनेट पर दिखाई दिया।[14]
- 11 अगस्त, 2003: सिमेंटेक एंटीवायरस त्वरित प्रमोचन सुरक्षा अद्यतन निर्धारित करता है।[6]*11 अगस्त 2003, शाम: एंटीवायरस एवं सुरक्षा फर्मों ने विंडोज अपडेट चलाने के लिए अलर्ट निर्धारित किए।[14]*12 अगस्त 2003: संक्रमित प्रणालियों की संख्या 30,000 बताई गई है।[14]* 13 अगस्त 2003: दो नए कीड़े प्रकट हुए एवं विस्तृत होने लगे। (सोफोस, एमएसब्लास्ट का प्रकार एवं W32/RpcSpybot-A, पूर्ण रूप से नया कीड़ा जो समान शोषण का उपयोग करता है) [15]
- 15 अगस्त 2003: संक्रमित प्रणालियों की संख्या 423,000 बताई गई है।[16]
- 16 अगस्त 2003: windowsupdate.com के विरुद्ध DDoS आक्रमण प्रारम्भ (अधिकतम सीमा तक असफल क्योंकि वह URL केवल वास्तविक साइट, windowsupdate.microsoft.com पर पुननिर्देशित है।)[14]*18 अगस्त, 2003: माइक्रोसॉफ्ट ने एमएसब्लास्ट एवं इसके प्रकारों के विषय में अलर्ट निर्धारित किया।[17]
- 18 अगस्त, 2003: संबंधित एंटी-वर्म, वेल्चिया, इंटरनेट पर दिखाई देता है।[18]
- 19 अगस्त 2003: सिमेंटेक ने वेल्चिया के स्वयं संकट मूल्यांकन को उच्च (श्रेणी 4) में उन्नत किया।[19]
- 25 अगस्त 2003: McAfee ने स्वयं संकट आकलन को घटाकर मध्यम कर दिया।[20]
- 27 अगस्त, 2003: वर्म के प्रकार में HP के विरुद्ध संभावित DDoS आक्रमण का शोध किया गया।[6]*1 जनवरी 2004: वेल्चिया ने स्वयं को विस्थापित कर दिया।[18]*13 जनवरी 2004: माइक्रोसॉफ्ट ने एमएसब्लास्ट वर्म एवं इसके रूपों को विस्थापित करने के लिए एकाकी उपकरण निर्धारित किया।[21]
- 15 फरवरी, 2004: संबंधित कृमि वेलचिया का प्रकार इंटरनेट पर शोध किया गया है।[22]
- 26 फरवरी, 2004: सिमेंटेक ने वेल्चिया वर्म के स्वयं संकट मूल्यांकन को अर्घ्य कर दिया (श्रेणी 2)।[18]
- 12 मार्च 2004: McAfee ने स्वयं संकट आकलन को घटाकर निम्न कर दिया।[20]
- 21 अप्रैल, 2004: अन्य प्रकार का शोध किया गया।
- 28 जनवरी, 2005: एमएसब्लास्टर के "B" वेरिएंट के निर्माता को 18 महीने जेल की सजा सुनाई गई है।[23]
दुष्प्रभाव
चूंकि वर्म केवल Windows 2000 या Windows XP चलाने वाले प्रणाली पर विस्तृत हो सकता है, यह विंडोज NT के अन्य संस्करणों को चलाने वाले प्रणाली पर RPC सेवा में अस्थिरता उत्पन्न कर सकता है, जिसमें विंडोज सर्वर 2003 एवं विंडोज XP प्रोफेशनल x64 संस्करण सम्मिलित हैं। विशेष रूप से, वर्म विंडोज सर्वर 2003 में विस्तृत नहीं होता है, क्योंकि विंडोज सर्वर 2003 को /GS स्विच के साथ संकलित किया गया था, जिसने अंतर्रोधी अधिकता की जानकारी प्राप्त की गयी एवं RPCSS प्रक्रिया को संवृत कर दिया।[24] जब संक्रमण होता है, तो अंतर्रोधी अधिकता RPC सेवा को ध्वस्त करने का कारण बनता है, जिससे विंडोज़ निम्न संदेश प्रदर्शित करता है एवं तत्पश्चात स्वचालित रूप से 60 सेकंड के पश्चात स्वचालित रूप से रीबूट होता है।[25]
प्रणाली समापन
यह तंत्र संवृत हो रहा है। कृपया सभी कार्य प्रगति पर सहेजें एवं लॉग संवृत करें। कोई भी न सहेजा गया परिवर्तन विलुप्त जाएगा। यह शटडाउन एनटी द्वारा प्रारम्भ किया गया था।प्राधिकरण \ प्रणाली
शटडाउन से पूर्व का समय: घंटे: मिनट: सेकंड संदेश:
विंडोज़को अब पुनरारंभ करना होगा, क्योंकि दूरस्थ प्रक्रिया कॉल (RPC) सेवा अनपेक्षित रूप से समाप्त हो गई है।
यह प्रथम संकेत था, कि कई उपयोगकर्ताओं को संक्रमण हुआ था; निराकरण मशीनों पर प्रत्येक प्रारम्भ के कुछ मिनट पश्चात यह प्रायः होता है। काउंटडाउन को रोकने का सरल संकल्प है शटडाउन/a आदेश चलाना,[26] रिक्त (उपयोगकर्ताओं के बिना) स्वागत आवरण जैसे कुछ दुष्प्रभाव उत्पन्न कर रहा है।[27] वेल्चिया वर्म का समान प्रभाव था। महीनों पश्चात, सैसर (कंप्यूटर वर्म) सामने आया, जिसके कारण समान संदेश दिखाई दिया।
यह भी देखें
- बोटनेट
- ब्लूकीप (सुरक्षा भेद्यता)
- कंफिकर
- गेमओवर ज़ीउस
- सहायक कीड़ा
- ऑपरेशन तोवर
- वेल्चिया (कंप्यूटर वर्म)
- सैसर (कंप्यूटर वर्म)
- स्पैम (इलेक्ट्रॉनिक)
- कंप्यूटर वायरस एवं वर्म्स की समयरेखा
- टिनी बैंकर ट्रोजन
- टॉरपिग
- सजायाफ्ता कंप्यूटर अपराधियों की सूची
- ज़ीउस (मैलवेयर)
- ज़ोंबी (कंप्यूटर विज्ञान)
संदर्भ
- ↑ "CERT Advisory CA-2003-20: W32/Blaster worm". CERT/CC. 2003-08-14. Archived from the original on 2014-10-17. Retrieved 2018-11-03.
- ↑ 2.0 2.1 2.2 "MS03-026: Buffer Overrun in RPC May Allow Code Execution". Microsoft Support. Microsoft Corporation. Retrieved 2018-11-03.
- ↑ "Minnesota Man Sentenced to 18 Months in Prison for Creating and Unleashing a Variant of the MS Blaster Computer Worm". United States Department of Justice. 2005-01-28. Retrieved 2021-02-17.
- ↑ Thomson, Iain (2003-09-01). "एफबीआई ने 'बेवकूफ' ब्लास्टर बी को गिरफ्तार किया". vnunet.com. Archived from the original on 2008-11-01. Retrieved 2018-11-03.
- ↑ 5.0 5.1 5.2 "MSBlast W32.Blaster.Worm / LovSan :: removal instructions". able2know.org. 2003-08-12. Retrieved 2018-11-03.
- ↑ 6.0 6.1 6.2 6.3 "W32.Blaster.Worm". Symantec. 2003-12-09. Retrieved 2018-11-03.
- ↑ 7.0 7.1 "एक भेद्यता का जीवनचक्र" (PDF). internet Security Systems, Inc. 2005. Archived from the original (PDF) on 2016-12-24. Retrieved 2018-11-03.
- ↑ "Worm:Win32/Msblast.A". Microsoft Corporation. Retrieved 2018-11-03.
- ↑ Bransfield, Gene (2003-12-18). "वेल्चिया वर्म" (PDF). pp. 14, 17. Retrieved 2018-11-03.
- ↑ "Buffer Overrun in Windows Kernel Message Handling could Lead to Elevated Privileges (811493)". Retrieved 2018-11-03.
- ↑ "Microsoft Windows RPC कार्यान्वयन में दोष". 2003-07-16. Archived from the original on 2016-03-04.
- ↑ 12.0 12.1 "माइक्रोसॉफ्ट आरपीसी में बफर ओवरफ्लो". 2003-08-08. Archived from the original on 2014-07-15. Retrieved 2018-11-03.
- ↑ "विंडोज आरपीसी इंटरफेस में एलएसडी के बफर ओवररन का विश्लेषण". 2003-07-25. Archived from the original on 2018-02-17. Retrieved 2018-11-03.
- ↑ 14.0 14.1 14.2 14.3 Roberts, Paul F. (2003-08-12). "फैल रहा है ब्लास्टर वर्म, विशेषज्ञों ने दी हमले की चेतावनी". InfoWorld. Retrieved 2018-11-03.
- ↑ Roberts, Paul F. (2003-08-13). "नया ब्लास्टर वर्म संस्करण जारी है". InfoWorld. Retrieved 2018-11-03.
- ↑ Roberts, Paul F. (2003-08-18). "ब्लास्टर वर्म बस्ट पर हमला करता है". InfoWorld. Retrieved 2018-11-03.
- ↑ "ब्लास्टर वर्म और इसके प्रकारों के बारे में वायरस अलर्ट". Microsoft Support. Microsoft Corporation. Retrieved 2018-11-03.
- ↑ 18.0 18.1 18.2 "W32.Welchia.Worm". Symantec. 2017-08-11. Retrieved 2018-11-03.
- ↑ Naraine, Ryan (2003-08-19). "'दोस्ताना' वेल्चिया वर्म कहर बरपा रहा है". InternetNews.com. Retrieved 2018-11-03.
- ↑ 20.0 20.1 "Virus Profile: W32/Lovsan.worm.a". McAfee. 2003-08-11. Retrieved 2018-11-03.
- ↑ "A tool is available to remove Blaster worm and Nachi worm infections from computers that are running Windows 2000 or Windows XP". Microsoft Support. Microsoft Corporation. Archived from the original on 2014-08-06. Retrieved 2018-11-03.
- ↑ "W32.Welchia.C.Worm". Symantec. 2007-02-13. Retrieved 2018-11-03.
- ↑ "Minnesota Man Sentenced to 18 Months in Prison for Creating and Unleashing a Variant of the MS Blaster Computer Worm". 2005-01-28. Archived from the original on 2014-07-14. Retrieved 2018-11-03.
- ↑ Howard, Michael (2004-05-23). "Why Blaster did not infect Windows Server 2003". Microsoft Developer. Microsoft Corporation. Retrieved 2018-11-03.
- ↑ "Worm_MSBlast.A". TrendMicro.com. Retrieved 2018-11-03.
- ↑ "Blaster Worm-Virus or Its Variants Cause the Computer to Shutdown with an NT AUTHORITY\SYSTEM Error Message Regarding Remote Procedure Call (RPC) Service". HP Consumer Support. HP. Archived from the original on 2014-11-10. Retrieved 2018-11-03.
- ↑ "विस्फ़ोटक कीड़ा". Techopedia. Retrieved 2018-11-03.