Lue uutinen mobiilisivustolla

Badtrans.B -mato leviää hyvin nopeasti

27.11.2001 06:56 Badtrans.B -mato leviää vikkelästi ympäri maailmaa, eikä sen vauhdin uskota heti hiipuvan. Viikonloppuna löydetty mato ei tuhoa tietoja kiintolevyltä, vaan lähettää niitä eteenpäin troijalaisen avulla.

Eri puolilta maailmaa alkoi viikonlopun jälkeen tulla yhä enemmän ilmoituksia Badtrans.B:stä. Usean virustorjuntayhtiön mukaan mato on alkuvaiheessa levinnyt nopeasti Euroopassa, ja myös Suomessa havaintoja on tehty huomattavasti.

Yritysten sähköposteja virusten varalta skannaavan MessageLabsin aktiivisten virusten ja matojen listalla uusi matoversio jätti aiemmat suosikit, kuten Sircamin ja Alizin, kauas taakseen. Moni tietoturvayhtiö nosti uuden Badtransin vaarallisuusluokitusta maanantaina.

Digitoday kertoi uudesta matoversiosta sunnuntai-iltapäivänä.

Automaattinen aktivoituminen

Badtrans.B:n nopealle leviämiselle lienee useita syitä. Ensinnäkin liero osaa muutaman aiemman tihulaisen tavoin hyödyntää Microsoft Internet Explorerin (IE) tietoturva-aukkoa siten, ettei vahingollisen viestin vastaanottajan tarvitse erikseen avata liitetiedostoa aktivoidakseen madon.

Vaikka Badtrans.B ei ole ensimmäinen haittaohjelma, joka hyödyntää IE:n aukkoa, automaattinen aktivoituminen pelkästä viestin lukemisesta erottaa sen kuitenkin tavallisista madoista.

Esimerkiksi F-Secure totesi maanantaisessa tiedotteessaan, että Badtrans.B:n «odotetaan leviävän huomattavasti nopeammin kuin keskivertomato».

Tietoturva-aukko on IE:n versioissa 5.01 ja 5.5. Microsoftin sivuilta voi tarvittaessa imuroida korjauspäivitykset.

Pyhätkin nopeuttaneet leviämistä

Ilmeisesti myös ajankohta on ollut Badtrans.B:n leviämiselle otollinen. Yhdysvalloissa on vietetty kiitospäivää, minkä takia monen sähköpostilaatikko on ennättänyt täyttyä matoviesteistä.

Euroopassa alkuvaiheen matoilmoitukset tulivat todennäköisesti pääasiassa kotikoneista. Viikonlopun jälkeen mato on päässyt leviämään paremmin työpaikoille.

Badtrans.B ei sinänsä tuhoa mitään tietoja saastuttamastaan järjestelmästä tai tuki verkkoa runsaalla liikenteellä. Mato osaa kuitenkin muita temppuja, joiden ansiosta sitä on syytä karttaa.

Sähköpostiliitteessä leviävä Badtrans.B pudottaa kohteeseensa Trojan.PSW.Hooker -nimisen troijalaisen, joka rekisteröi tietokoneen näppäimistön painallukset ja etsii salasanoja. Keräämänsä tiedot troijalainen lähettää kirjoittajansa Hotmail-osoitteeseen.

Mato käyttää lähettämiseen kaikkia järjestelmästä löytyviä sähköpostiosoitteita. Saastuneessa viestissä ei ole sisältöä, ja aihe-kentässä lukee yleensä vain "RE:" tai "RE:" ja lisäksi sen viestin aihe, johon mato vastaa. Liitteellä on aina kaksoispääte, esimerkiksi .TXT.PIF.

Lisätietoja Badtrans.B:stä ja sen poistamisesta järjestelmästä voi etsiä virustorjuntaohjelmien valmistajien kotisivuilta. Jos käytössä on IE:n paikkaamaton versio 5.01 tai 5.5, ohjelma on syytä päivittää.

Jos käytössä on jokin toinen selain tai IE:n turvallisempi versio, Badtrans.B ei aktivoidu itsestään. Madolta välttyy tällöin tuhoamalla viestit, joiden liitetiedostossa on kaksi peräkkäistä tiedostoliitettä.

Antti Kirves toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta