Lue uutinen mobiilisivustolla

Netsky.D spammattiin lentävään lähtöön

2.3.2004 08:47 F-Securen mukaan yksinkertaisen Netsky.D-madon räjähtävä leviäminen johtuu siitä, että mato massapostitettiin suurelle joukolle maanantaina. D-version lisäksi maanantaina löydettiin vielä Netsky.E sekä Bagle-virusperheen H-variantti.

F-Securen Skandinavian virustilaston mukaan Netsky.D:n osuus virushavainnoista nousi alle vuorokaudessa yli 65 prosenttiin. Kuusi uutta Bagle-versiota eivät sen sijaan näytä leviävän kovinkaan vauhdikkaasti. Näistä korkeimalle tilastoissa on kohonnut Bagle.F 0,8 prosentin osuudellaan.

Tutkimusjohtaja Mikko Hyppösen mukaan Netsky.D saattaa ohittaa levinneisyydessään Mydoom.A- ja Sobig.F-madot, jos se jatkaa leviämistään tällä vauhdilla.

Netsky.D on jo vuoden neljäs virus, joka on saanut F-Securelta korkeimman uhkaluokituksen.

Koneet piippaamaan

Netsky ei käytä leviämisessään haavoittuvuuksia vaan tartunnan saamiseksi käyttäjän on avattava liitteenä saapuva pif-tiedosto. Ainut
erityispiirre Netsky.D-madossa on se, että tiistaiaamuna 2.3. se soittaa
saastuttamansa koneen kovaäänisistä sattumanvaraisia piippaavia ääniä, F-Secure kertoo.

Clearswithin Chy Chuawiwat sanoi Zdnet-uutispalvelulle uskovanssa, että venäläiset rikolliset ovat tehneet Netskyn muokkaamalla Sobig-matojen lähdekoodia. Chuawiwatin mukaan kaikki viittauksen madon alkuperästä osoittavat Venäjälle.

Bagle-sotaa

Viisi uutta varianttia alle 48 tunnissa saaneesta Bagle-madosta löydettiin maanantaina vielä yksi uusi versio, Bagle.H. F-Securen mukaan uudet matoversiot näyttävät olevan saman kirjoittajan käsialaa.

Hyppösen mukaan vaikuttaa siltä, että Bagle-virusten kirjoittaja on ryhtymässä sotaan.

- Ilmeisesti kirjoittaja on tarkkaillut tiiviisti kuinka nopeasti virusten torjujat ovat saaneet julkaistua poistotyökalut. Tämän jälkeen hän on tehnyt matoon tarvittavat korjaukset ja lähettänyt uuden version matkaan välittömästi, Hyppönen selitti.

Pyrkii kiertämään virustutkat

Bagle.F ja Bagle.G lähettävät saastuneita liitteitään salattuina zip-tiedostoina, jotka on suojattu viestin runkoon sisällytetyllä salasanalla.
zip-tiedostot itsessään vaihtelevat, koska niiden sisältämä .EXE-tiedosto sisältää sattumanvaraisen osan.

F-Securen mukaan luultavimmin virus pyrkii tämän ominaisuuden avulla ohittamaan palvelinten liikennettä seuraavat tutkat, jotka eivät useinkaan pysty avaamaan tiedostosalausta.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Hyvinkään epäillyn ampujan motiivi yhä hämärän peitossa