בלאסטר
"תולעת בלאסטר" (באנגלית: Blaster) הידועה גם בשם לווסאן (באנגלית: Lovsan או Lovesan) היא תולעת מחשב שנפוצה על מחשבים הפועלים תחת מערכות ההפעלה חלונות XP וחלונות 2000 של חברת מיקרוסופט. התולעת הופצה לראשונה באוגוסט 2003[1]. התולעת מפורסמת ביותר בהודעת השגיאה שעולה במחשבים נגועים ומתחילה ספירה לאחור של 60 שניות עד לכיבוי או אתחול המחשב. על פי קוד נסתר בתולעת מושא ההתקפה הוא ביל גייטס.
גילוי וזיהוי
האזכור הראשון להופעתה הוא ב-11 באוגוסט 2003. מאותו יום היא נפוצה בקצב עולה וקצב ההדבקה של מחשבים עלה עד שהגיע לשיא ב-13 באוגוסט 2003. סינון תוכן על ידי ספקי אינטרנט והמהירות בה עברו החדשות בנוגע לתולעת עזרו להאט משמעותית את תפוצתה תוך זמן קצר.
כבר ב-29 באוגוסט אותה שנה, פחות משלושה שבועות אחרי גילוי התולעת, בוצע מעצר בהופקינס שבמדינת מינסוטה, ארצות הברית. העצור, ג'ייסון לי פירסון, צעיר בן 18 נעצר באשמת יצירת גרסה B של התולעת. הוא הודה באשמה ונידון לתקופת מאסר של 18 חודשים בינואר 2005.[2]
יצירה ונזקים
על פי המידע הנתון היום הגרסה המקורית של התולעת נכתבה על ידי קבוצת האקרים סינים הקרויה Xfocus. גרסה זו ניצלה טלאי שהופץ על ידי מיקרוסופט. הכותבים של התולעת אחזרו קוד של טלאי שהפיצה מיקרוסופט עבור מערכות הפעלה חלונות XP ו-2000 וניצלו אותו כדי ליצור את התולעת עצמה.[3]
התולעת מנצלת פרצת אבטחה שמקורה בגלישת חוצץ שנתגלתה על קבוצת האקרים פולנית[4]. בגלל טלאי שהופץ חודש קודם להפצת התולעת הקבוצה הצליחה לגלות דרך לנצל תהליך תקשורת בין יישומית הקרוי Remote Procedure Call כך שהדבקה בתולעת תתרחש גם אם המשתמש לא פתח את הקובץ שמפיץ את התולעת. לתולעת זו נצפו 4 גרסאות עד היום.
התולעת תוכננה כך שתתבצע הצפת SYN מתואמת מול פורט 80 באתר windowsupdate.com בתאריך ה-15 באוגוסט 2003 במטרה לפגוע באתר באמצעות התקפת מניעת שירות. הפגיעה באתר מיקרוסופט הייתה מינימלית, היות שהכתובת הנ"ל הוגדרה כך שתבצע הפניה אוטומטית לאתר windowsupdate.microsoft.com. ליתר ביטחון, החברה השביתה את האתר לזמן מה במטרה למזער נזקים אפשריים.
התולעת כוללת 2 שורות קוד מוסתרות. האחת בעלת אופי אישי והשנייה חושפת את מטרת ההתקפה של התולעת.
בשורת הקוד הנסתרת הראשונה כתוב:
I just want to say LOVE YOU SAN!!
היא שורת הקוד הראשונה בה כתוב "אני רק רוצה לומר אוהב אותך סאן!!". (הטעות הלשונית זהה במקור). לכן קיבלה התולעת את הכינוי לווסאן. השגיאה הלשונית נמצאת גם במקור וניתן לייחס אותה למוצאם של כותבי התולעת המקורית. השגיאה בין המקור לבין הצורה הנכונה: "אני רק רוצה לומר, אני אוהב אותך סאן!!" ("I just want to say I LOVE YOU SAN!!") נפוצה בקרב דוברי סינית הכותבים או מדברים באנגלית ומספקת עוד רמז בנוגע למקור ממנו הגיעה התולעת.
שורת הקוד השנייה היא כדלקמן:
billy gates why do you make this possible ? Stop making money and fix your software!!
בשורה זו כתוב "בילי גייטס, למה אתה מאפשר את זה? תפסיק לעשות כסף ותקן את התוכנה (ות) שלך". משפט זה בא לתקוף את היזם שהיה שותף בהקמת חברת מיקרוסופט, ביל גייטס.
הסרה
רוב האנטי וירוסים הקיימים היום מצוידים בכלים להסרת התולעת. כמו כן קיימים כלים נוספים. טלאי להסרת התולעת ניתן למצוא כאן.
תופעות לוואי
למרות שהתולעת מופצת רק דרך מערכות ההפעלה חלונות 2000 וחלונות אקס פי 32 ביט היא מסוגלת לגרום נזק גם למערכות העובדות עם חלונות NT ,חלונות סרבר 2003 והגרסה המקצועית של חלונות XP 64 ביט.
תופעת לוואי נוספת והתופעה המוכרת ביותר של התולעת מתרחשת במערכת ההפעלה כשהתולעת מגלה חיבור לאינטרנט (מכל סוג ולא רק בפס רחב). יציבותה של המערכת מתערערת, לעיתים עד כדי הצגת הודעת שגיאה שהמחשב ייכבה או יאותחל, בדרך כלל עם ספירה לאחור של 60 שניות. בתום הספירה לאחור המחשב מאותחל או נכבה.[5]
הערות שוליים
- ^ http://www.cert.org/advisories/CA-2003-20.html
- ^ ""מאסר ליוצר תולעת בלאסטר"". infoworld. 28 בינואר 2005. נבדק ב-23 באוגוסט 2008.
{{cite web}}
: (עזרה) - ^ http://web.archive.org/web/20070927195105/http://www.vnunet.com/vnunet/news/2123165/fbi-arrests-stupid-blaster-b-suspect
- ^ http://able2know.org/topic/10489-1
- ^ http://onecare.live.com/standard/en-us/virusenc/VirusEncInfo.htm?VirusName=Win32/Msblast