WinNuke è un sistema remoto che legge l'indirizzo IP e inoltra un attacco informatico di tipo denial of service sulla porta 139 TCP/IP. Attacca tutti i sistemi Windows NT e Windows 95, provocando una schermata blu (BSOD) con la scritta "BYE" (congedo ironico).

Caratteristiche tecniche

modifica

Questo attacco consiste nel far ricevere un pacchetto IP che supera i 64Kb.

Una richiesta ICMP ECHO prodotta con il comando ping e che supera il limite di 64kb può essere usata per causare il blocco della macchina a cui viene inoltrata.

Le specifiche relative all'interfaccia tra il NetBIOS e il TCP/IP prevedono la disponibilità di una serie di messaggi urgenti definiti OOB (Out of Band data) che vengono scambiati tra le macchine in rete per comunicazioni di servizio ad alta priorità, quindi basterebbe generarne uno in forma errata per confondere il sistema provocandone un crash.

Inserendo la chiave

[HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\VxD\MSTCP] "BSDUrgent"="0

nel registro di sistema, si combatte questa minaccia.

Primo avvistamento

modifica

Il 10 maggio 1997 BugTrap comunicava che un attacco alla porta 139 TCP/IP riservata alle negoziazioni di NetBIOS poteva far crashare da remoto un sistema NT o 95.

In tutte le reti IRC fu notata una sconnessione di massa dovuta a un ping time out; tutte le macchine connesse scomparivano misteriosamente. Un attacco WinNuke, secondo il BugTrap, risulta innocuo nel 30% delle macchine, ma quasi tutti coloro che ne sono rimasti vittime sono stati costretti ad effettuare un reboot.

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica