Lue uutinen mobiilisivustolla

"Sasser-koneiden käyttöjärjestelmä asennettava uudelleen"

6.5.2004 08:50 Internet-valvontakeskus Internet Storm Center kehottaa Sasser-madon tietokoneelleen saaneita käyttäjiä asentamaan koko käyttöjärjestelmän uudestaan. ISC:n mukaan lsass-haavoittuvuudelle alttiit tietokoneet ovat hyvin todennäköisesti saastuneet madon lisäksi myös muilla haittaohjelmilla.

Sans-instituutin Internet Storm Centerin päivystäjä Johannes Ullrich pitää uutta asennusta tarpeellisena huolimatta siitä, että Sasser-madon poistaminen on suhteellisen yksinkertaista.

- Se, että Sasser on saastuttanut tietokoneen, osoittaa sen olleen altis lsass-aukon hyväksikäytölle. Ennen Sasseria suuri määrä erilaisia botteja hyödynsi tätä haavoittuvuutta, Ullrich selittää.

Ullrich kertoo ISC:n havainneen, että useat Sasser-madon saastuttamat järjestelmät ovat pitäneet sisällään myös yhden tai useamman bottiohjelman.

- Saamme joka päivä useita näytteitä erilaisista boteista. Virustorjunnan tunnisteet eivät tyypillisesti pysy versioiden perässä ja useat botit sisältävät erillisen koodin, jolla asennetaan takaovi, estetään virustorjunnan ja palomuurin toiminta tai lisätään ylimääräisiä tilejä järjestelmään, Ullrich kertoo.

Botti on automaattisesti verkkoa skannaava hyökkäysohjelma, joka ei kuitenkaan leviä täysin itsenäisesti. Botti on lyhennys sanasta robotti.

Virustorjunta pettää

Ullrichin mukaan virustorjuntaohjelmistot eivät pysty luotettavasti tunnistamaan tai puhdistamaan kaikkia bottiohjelmia. Turvallinen tarkistus onnistuu hänen mielestään vain tietokoneiden tutkinnan asiantuntijalta.

- Lopputuloksena on mahdotonta tietää, onko järjestelmässä jäljellä näitä ohjelmia, Ullrich summaa.

Internet Storm Center on julkaissut englanninkielisen "Windows XP: Surviving the first Day" -ohjeen, jossa neuvotaan käyttöjärjestelmän turvallinen asennus ja verkkoon liittäminen.

Lauantaina löydetty Sasser-mato ja sen muunnelmat hyödyntävät Microsoftin Windows 2000 ja XP -käyttöjärjestelmien local security authority subsystem service -palvelun (lsass) haavoittuvuutta.

Micorosoft julkaisi päivityksen haavoittuvuudelle 13. huhtikuuta.

Windows XP: Survining the first Day:
http://www.sans.org/rr/papers/index.php?id=1298 (pdf)

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Hyvinkään epäillyn ampujan motiivi yhä hämärän peitossa
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon