Lue uutinen mobiilisivustolla

Nimda leviää yhä nopeammin

19.9.2001 00:38 Tiistaina löydetty Nimda-mato leviää yhä nopeammin maailmalla. Erilaisia leviämistapoja tehokkaasti hyödyntävä Nimda on ensimmäinen omassa sarjassaan. Uusi tihulainen saastuttaa niin pc-koneet kuin palvelimetkin.

Virustorjuntaohjelmia valmistaville yrityksille on tullut yhä enemmän ilmoituksia ikävästä vieraasta sen jälkeen, kun Nimda ensimmäisen kerran havaittiin vapaana. Esimerkiksi F-Secure ja Trend Micro nostivat madon korkeimmalle hälytystasolle myöhään tiistai-iltana.

Uusi mato on nostanut verkkoliikenteen määrää huomattavasti. Mikäli se pääsee leviämään kyllin laajalle, verkon liikenne hidastuu.

Aiemmin tiistaina tietoturvaorganisaatio CERT kertoi merkittävästä lisäyksestä portin 80 skannauksissa. CERT:n mukaan porttien kolkuttelu saattaa hyvinkin suoraan liittyä sähköpostiliitteinä nopeasti leviävien readme.exe -tiedostojen lisääntymiseen.

FBI tutkii, oikeusministeri varoittaa

Uutisryhmissä Nimdan leviäminen on näkynyt lisääntyvinä kyselyinä readme.exe- tai readme.eml -liitteiden tulvan aiheuttajasta. Nopeasti heräsivät myös spekulaatiot siitä, onko madolla jotakin yhteyttä viime viikon surullisiin tapahtumiin New Yorkissa ja Washingtonissa.

Liittovaltion poliisi FBI myönsi tiistaina tutkivansa matoa mutta korosti, ettei mikään viittaa Nimdan ja terroristi-iskun liittyvän toisiinsa.

Mato on muutenkin herättänyt Yhdysvaltain hallituksen mielenkiinnon. Oikeusministeri John Ashcroft kiisti myös terroriyhteyden tiistaina, mutta varoitteli, että Nimda saattaa peitota kesällä mellastaneen Code Redin aiheutetun verkkoliikenteen häirinnän määrässä.

Tavallista hankalampi tapaus

Nimda on ensimmäinen mato, joka osaa hyödyntää niin sähköpostin liitetiedostoja kuin palvelinten tietoturva-aukkoja levittäytyessään.

F-Securen virustorjuntayksikön päällikkö Mikko Hyppönen toteaa, että juuri monipuolisuutensa ansiosta mato onkin päässyt vauhtiin.

«Tämän madon kehittämiseen on panostettu. Nimda leviää nopeasti, koska siinä yhdistyy monta eri toimintoa», Hyppönen sanoo yhtiön tiedotteessa.

Nimdan ikävimpiin puoliin kuuluu se, ettei sen kirjoittaja levitystapoja miettiessään ole tyytynyt luottamaan madon vastaanottajan huolimattomuuteen ja virheisiin.

Liitteet auki automaattisesti...

Yksi Nimdan ominaisuuksista hyödyntää virustorjuntayhtiö Sophosin mukaan joidenkin Outlook-, Outlook Express- ja Internet Explorer -ohjelmaversioiden tietoturva-aukkoja.

Käytännössä tämä tarkoittaa sitä, että mikäli käyttäjällä on koneellaan paikkaamaton versio mainituista ohjelmista, Nimda voi muuttaa niiden asetuksia siten, että liitetiedostot avautuvat automaattisesti.

Kun liitetiedosto aukeaa, Nimda saastuttaa tietokoneen kopioimalla itsensä Windows-hakemistoon ja yrittää sitten levittäytyä eteenpäin jaettujen levyjen kautta. Sitten se etsii saastuttamaltaan koneelta sähköpostiosoitteita, joihin se alkaa lähettää kopioitaan.

...ja sitten palvelinten kimppuun

Seuraavaksi Nimda etsii IIS-palvelinohjelmistoja, joiden Unicode Directory Traversal -aukkoa ei ole paikattu.

Jos mato löytää aukon, se yrittää lisätä palvelimella oleville sivuille Javascript-koodia. Näin viruskoodi pääsee leviämään eteenpäin, mikäli sivua katsellaan selaimella, jonka turva-asetukset eivät ole kunnossa. Nimdan voi siis saada www-palvelimen levittämänä, mikä on uutta matomaailmassa sekin.

Nimdan sisältävän sähköpostiviestin otsikko vaihtelee. Otsikkorivillä ei välttämättä lue mitään, kuten ei myöskään itse viestissä.

Viestin liitteinä on yleensä readme.exe -tiedosto sekä html-tiedosto. Osa Nimdan uhreista on kuitenkin kertonut, ettei readme.exe -tiedosto ole näkyvissä, vaikka virusskanneri sen nimisestä viruksesta varoittaisikin.

Virustorjuntayhtiöiden enemmistöllä on päivitykset Nimdaa vastaan. Microsoftin tietoturva-aukkoihin voi hakea paikkauspäivityksiä täältä.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Bankia pyytää Espanjan valtiolta 19:ää miljardia euroa
• Rivitalo palaa Vahdossa