RPC Interface Buffer Overrun Vulnerability - MSBLASTER WORM

[balsa]

RPC DCOM WORM (MSBLASTER)
This RPC DCOM worm started spreading early afternoon EDT (evening UTC). At this point, it is spreading rapidly.

**********
NOTE: PRELIMINARY. Do not base your incidents response solely on this writeup.
**********


Increase in port 135 activity: http://isc.sans.org/images/port135percent.png

In order to protect yourself, you need to :
Close port 135 (if possible 135-139, 445 and 593)
Apply Patches http://www.microsoft.com/technet/security/bulletin/MS03-026.asp


If you are infected:
- disconnect machine from any network
- delete msblast.exe - delete registry key staring msblast.exe - reboot.


The worm may launch a syn flood against windowsupdate.com on the 16th. It has the ability to infect Windows 2000 and XP.

The worm uses the RPC DCOM vulnerability to propagate. One it finds a vulnerable system, it will spawn a shell on port 4444 and use it to download the actual worm via tftp. The exploit itself is very close to 'dcom.c' and so far appears to use the "universal Win2k" offset only.

Infection sequence: 1. SOURCE sends packets to port 135 tcp with variation of dcom.c exploit to TARGET
2. this causes a remote shell on port 4444 at the TARGET
3. the SOURCE now sends the tftp get command to the TARGET, using the shell on port 4444,
4. the target will now connect to the tftp server at the SOURCE.


The name of the binary is msblast.exe. It is packed with UPX and will self extract. The size of the binary is about 11kByte unpacked, and 6kBytes packed:

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)

So far we found the following properties:

- Scans sequentially for machines with open port 135, starting at a presumably random IP address
- uses multiple TFTP servers to pull the binary
- adds a registry key to start itself after reboot


Name of registry key:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run, name: 'windows auto update'

Strings of interest:

msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
BILLY
windows auto update
SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Existing RPC DCOM snort signatures will detect this worm. The worm is based on dcom.c

 

[nIce Cream]

Molim moderatore da promene naslov ovog Thread-a posto vidim da se svakih 5 minuta otvara novi thread na istu temu sa drugim pretpostavkama....

 

[BeastMaster]

3 puta su me hakovali za 5min dok mi nisu rekli sta je, posle dok sam skinuo patch jos 4 puta.
Posto je meni puko win, kacim se sa notebook-a na kome je XP.

Mrzeo sam Xp pre ovoga, a tek ga sada ne podnosim
Long live w2k !

to ti isto pogađa i win2k.

 

[drapin]

Molim moderatore da promene naslov ovog Thread-a posto vidim da se svakih 5 minuta otvara novi thread na istu temu sa drugim pretpostavkama....

Vec odradjeno, izgleda u isto vreme kad si i ti postovao, a i svi ostali thread-ovi na istu temu zatvoreni i "linkovani" na ovaj...

 

[BigBoy]

Reinstalirao XP(ghost), skinuo zakrpu, stavio AV, ukljucio win fw, stavio za,....

Pre reinstalacije bio je aktivan msblast.exe proces, a sada ga nema (a i nesecam se da sam pre vidjao)!

 

[Miroslav]

ja cu samo da kazem:

:mrgreen: :mrgreen: :mrgreen: :mrgreen: :mrgreen: :mrgreen: :mrgreen: :mrgreen: :mrgreen: :mrgreen:

 

[aksa]

Ja sam primetio da mi je msblast dosao kad i update za ICQ koji se neverovatno brzo instalirao...da li ima neke veze ili ne - ne znam...Ali jedno je sigurno...greska nije...PC CILIN sa najnovijim update-om TRETIRA MSBLAST KAO VIRUS (WORM_MSBLAST.A)!!! Ocistite ga dok je vreme ctp; ...a koliko sam primetio i kod svih vas sve je bilo u redu dok se msblast nije pojavio

 

[drapin]

Korisnici Verat-a su, kao, zasticeni ?! www.verat.net vest od 23:20 11.8.2003.

 

[delimir]

Korisnici Verat-a su, kao, zasticeni ?! www.verat.net vest od 23:20 11.8.2003.

Zasticeni su djoku Ja sam na Veratu (SMIN) i danas sam pokupio taj virus. Takodje sam i ja danas "apdejtovao" ICQ (47k update).

 

[][V][ATRIX™]

To epidemija krece

Meni na srecu nije bilo problema te vrste...

 

[Floyd]

i ja sa verata fasovah 3shu...

 

[Floyd]

ghostovah win,pa reko da skinem zakrpu,ali opet fasovah,srecom stigao sam da je skinem

 

[fanatic]

Evo ga i kod mene ... Odo sa skinem patch ...

 

[Space cowboy]

Removal tool:
http://securityresponse.symantec.com/avcenter/FixBlast.exe

 

[BeastMaster]

Korisnici Verat-a su, kao, zasticeni ?! www.verat.net vest od 23:20 11.8.2003.

I ja bio na veratu kad sam ga pokupio...

 

[Vocko]

...



to ti isto pogađa i win2k.

Da, ali mi se to na w2k nikada nije desilo, a taj komp (posto je moj) mnogo cesce koristim i mnogo cesce sam sa njim na netu.

 

[silverglider]

Pa napravite statistiku od ovih sto su se zarazili da vidite ko sta ima od OS-a.

 

[xSeptimus]

OVAJ win2ksp3 josh uvek odoleva...

 

[vladojko]

Ovo je definitivno najvece ****** izaslo iza radionice Bilija Gejtsa, onaj MS SQL slammer nece ovome biti ni do kolena

 

[-=*[BarSel]*=-]

!

-U prvi mah sam pomislio da ste mi obrisali temu,jer nigde ne vidim "Prvi put..." .E tek posle,neki RBC 12442124 vidim da je napisao Barsel.Pomislio sam da je to od onoga kada ste prebacivali forum,pa su se medjusobno pomesala imena korisnika...i tek sam sad video da ste mi pormenili ime threada Onako sam ga nazvao jer uopste nisam imao pojma sta se desava,vec sam mislio da se to dogadja jednom u 100 godina ,pa eto da okacim...
Konektovao sam se 5 puta da bih uspoe da presnimim onaj patch sto je delimir dao,jer nisam mogao stignem sve to za minut.Bas sam se posteno iznervirao.

Je6em ti majkroco(|)t

 

[filipenko]

Ma ja sam samo ukljucio firewall za konekciju i od tada jedno 5-6 puta na net po par sati i - nista !!! :mrgreen:

 

[delimir]

Za sve koji su zakacili ovaj "virus"...

Pozdrav :mrgreen:

 

[-=*[BarSel]*=-]

Ni firewall nista ne vredi

....ali patch resava problem!
Hvala Delimire

 

[-=*[BarSel]*=-]

Za sve koji su zakacili ovaj "virus"...

Pozdrav :mrgreen:

BEZ s,Delimire,BEZ s ,)

 

[kjgkreek]

Heheh i ja sam ga zakacio ali znam odakle, sa linka koji je na bench stavio neko za powerstrip download e pa link je zarazen :mrgreen:


A dobio sam na poklon od Crnog link

PowerStrip 3.41.393 Beta:
http://www.entechtaiwan.com/files/psbeta.exe

inace tema ja malo download-a (na Aplikaotivnom softwear-u)

 

[BeastMaster]

Ma nema taj link veze sa virusom.

 

[kjgkreek]

pa neznam onda odakle sam ga popio jel od kada sam bio instalirao ps odatle problem je nastao dotle je sve lepo radilo

Ne kazem ja da je Crni to nas zarazio nego samo da je tal link zarazen.

 

[ilki]

Evo i meni

 

[Santa]

Nisam zakacio nista, konektujem se preko sezam@home, jel' to moze da zakaci i mene???

 

[Stameni]

Moze,sto da ne :mrgreen: