Lue uutinen mobiilisivustolla

PnP-aukosta tuli nopeasti virustehtailijoiden suosikki

16.8.2005 14:48 Windowsien Plug and Play -aukon hyödyntämismenetelmää ollaan pikavauhtia liittämässä kaikkiin yleisimpiin bottiohjelmiin. Tulilinjalla ovat edelleen vain Windows 2000 -järjestelmät, joten kohteita on suhteellisen vähän.

Zotobin käyttämä hyödyntämismenetelmä puree vain Windows 2000 -tietokoneisiin etäältä, eikä kohdejärjestelmien vähäisyyden vuoksi Zotob näytä aiheuttavan lähellekään yhtä suuria ongelmia, kuin verkkomato Sasser vuosi sitten keväällä.

Zotob-verkkomadosta on laadittu jo ainakin kaksi uutta versiota.

Trend Micron mukaan B-versio oli maanantaina saastuttanut noin tuhat tietokonetta Yhdysvaltojen länsirannikolla. A-version saastuttamia koneita samalla alueella on vain noin 50. Yhtiö myös raportoi tartunnoista Saksassa. Tilastot perustuvat vain yhtiön asiakkaiden järjestelmistä kerättyihin tietoihin.

Zotob.C leviää F-Securen mukaan myös sähköpostiviesteissä ja taitaa PnP:n lisäksi myös ASN.1-haavoittuvuuden hyväksikäytön.

Exploit integroidaan pikavauhtia botteihin

F-Secure kertoo maanantaina saaneensa yhteydenoton suurehkolta organisaatiolta, jonka palomuurien taakse oli päässyt livahtamaan Ircbot-bottiohjelman PnP-haavaa hyödyntävä muunnos. Ohjelma oli saastuttanut satoja työasemia.

Viestintäviraston Cert-fi:n mukaan vaikuttaakin siltä, että PnP-haavoittuvuuden hyödyntämiskoodia integroidaan selvästi pikavauhtia kaikkien yleisimpien bottiohjelmien haavoittuvuusskannereihin.

ISC: Infocon on taas vihreä

Sans-instituutin Internet Storm Center sen sijaan muutti maanantaina internetin uhkatasosta kertovan Infocon-varoitusjärjestelmän takaisin normaalitilaan eli vihreäksi. Keltaisen varoituksen saivat aikaan jo perjantaina PnP-haavoittuvuuden julkiset hyödyntämismenetelmät.

ISC:n mukaan varoitus tehdään nimenomaan uhkatason muuttuessa: nyt tilanne on jokseenkin staattinen.

- Uskomme, että kaikki alttiit järjestelmät ovat jo tässä vaiheessa saastuneet.

Palomuuri auttaa, päivittäminen kannattaa

PnP-haittaohjelmat etsivät haavoittuvia järjestelmiä skannaamalla porttia tcp/445. Kyseinen portti on ollut useiden hyökkäyksien kohteena ennenkin, ja liikennettä suodatetaan yleisesti palomuureilla.

Yritysverkossa riskinä on kuitenkin, että mato tai botti livahtaa sisäverkkoon esimerkiksi saastuneesta kannettavasta.

Cert-fi kehottaa asentamaan MS05-039:n päivitykset ensi tilassa. Lisäksi ryhmän varoituksen mukaan yritysten on syytä kiinnittää huomiota kannettavien tietokoneiden tietoturvapäivitysten, palomuurisuojausten ja virustorjuntaohjelmien tunnistetietokantojen ajantasaisuuteen.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Poliisikoulun rehtori: Työharjoittelukäytäntöjä ei tarpeen muuttaa