WinNuke
Da Wikipedia, l'enciclopedia libera.
WinNuke, è un programma remoto che legge l'indirizzo IP e inoltra un attacco sulla porta 139 TCP/IP
Indice |
[modifica] Sintomi
Attacca tutti i sistemi basati su Windows NT fino a Windows 98 SP3, 3 provoca una schermata blu (BSOD) con la scritta "BYE" (Congedo ironico).
[modifica] Caratteristiche Tecniche
Questo attacco consiste nel far ricevere un pacchetto IP che supera i 64Kb.
Una richiesta ICMP ECHO prodotta con il comando "ping" e che supera il limite di 64kb può essere usata per causare il blocco della macchina a cui viene inoltrata.
le specifiche relative all'interfaccia tra il NetBIOS e il TCP/IP prevedono la disponibilità di una serie di messaggi urgenti definiti OOB (Out of Band data) che vengono scambiati tra le macchine in rete per comunicazioni di servizio ad alta priorità, quindi, basterebbe generarne uno in forma errata per confondere il sistema provocandone un Crash.
[modifica] Primo Avvistamento
Il 10 maggio 1997, BugTrap comunicava che un attacco alla porta 139 TCP/IP riservata alle negoziazioni di NetBIOS poteva far crashare da remoto un sistema NT o 95.
[modifica] Danni
In tutte le reti IRC fu notato una sconnessione di massa dovuto da un Ping Time Out, Tutte le macchine connesse scomparivano misteriosamente, Un attacco WinNuke, secondo il BugTrap, risulta immune nel 30% delle macchine, ma circa tutti coloro che ne sono rimaste vittime, sono state costrette ad effettuare un ReBoot.
[modifica] Prevenire un attacco
Inserendo la chiave
[HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\VxD\MSTCP] "BSDUrgent"="0
Nel registro di sistema, si combatte questa minaccia.
Se avete un indirizzo IP dinamico, o avete una versione di Windows successiva al SP3 di Windows 98, questa chiave è sconsigliata e superflua.
