Lue uutinen mobiilisivustolla

Sasser levinnyt maailmanlaajuisesti

2.5.2004 12:50 Tietoturvayhtiö Trend Micro varoittaa internet-madosta nimeltä Sasser.A. Riski on tällä hetkellä määritelty keskisuureksi (Medium Risk). Raportteja madon leviämisestä on tullut useista Euroopan ja Aasian maista sekä Yhdysvalloista.

F-Securen mukaan Sasserin saastuttamien koneiden määrän arvellaan jo olevan satoja tuhansia ympäri maailmaa, ja se jatkanee rajua leviämistään kun työviikko alkaa.

- Tämä tapaus muistuttaa hyvin paljon Blasteria, verkkomatoa joka levisi elokuussa 2003, sanoo F-Securen tutkimusjohtaja Mikko Hypponen.

Sasser.A leviää etsimällä Windows-tietokoneiden ip-osoitteita. Se hyödyntää Microsoftin hiljattain raportoimaa tietoturva-aukkoa.

Sasser.A hyökkää Windows 95 -käyttöjärjestelmää tai sitä uudempaa versiota käyttäviä tietokoneita vastaan.

Kun mato löytää tietokoneen, jota ei ole päivitetty ja jonka tietoturva-aukkoa ei ole tukittu, se lähettää koneelle datapaketin, joka aiheuttaa niin sanotun puskurin ylivuodon Windowsin Local Security Subsystem Servicessä (LSASS.EXE). Sasser.A leviää itsekseen ilman että käyttäjän tarvitsee tehdä mitään. Riittää, että tietokone on kytketty internetiin.

Koneelle lähetetty datapaketti kuuntelee tietokoneen porttia 9996 ja avaa portin 5554, jotta se voi vastaanottaa ftp-kutsuja muilta tartunnan saaneilta tietokoneilta. Lisäksi Sasser-mato siirtyy tietokoneeseen ja alkaa etsiä uusia internetiin yhdistettyjä tietokoneita tartunnan levittämiseksi edelleen.

Ylikuormitusta

Mato ei aiheuta vahinkoa tartunnan saaneelle tietokoneelle tallennetuille tiedoille, mutta koneesta tulee lähes käyttökelvoton tietokoneen ja internet-yhteyden suuren kuormituksen takia.

LSASS-tietoturva-aukosta raportoitiin 13. huhtikuuta, kun eräs Agobot-madon variantti, Agobot.JF, hyödynsi aukkoa. Mato löydettiin 16 päivää tietoturva-aukon havaitsemisen jälkeen.

Viime elokuussa tuhoa aiheuttanut Blaster-mato löydettiin 26 päivää sen jälkeen, kun tietoturva-aukosta oli raportoitu. Tämä osoittaa, että tietoturva-aukon löytymisen ja sen hyväksikäytön välinen aika lyhenee.

Kalevi Nikulainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Hyvinkään epäillyn ampujan motiivi yhä hämärän peitossa
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon