Lue uutinen mobiilisivustolla

Tutkija: Kama Sutra -madon liikennettä noin 300 000 ip-osoitteesta

25.1.2006 10:52 Tiedostoja tuhoavan Nyxem.E-madon leviämistä seuraavan laskurin lukema on kohonnut jo 700 000:een. Tutkijan mukaan viranomaisilta ja operaattoreilta saatujen tietojen perusteella sähköpostimadon saastuttamia tietokoneita löytyy noin 300 000 erillisestä ip-osoitteesta.

Viime perjantaina leviämisen aloittanut Nyxem.E-mato ottaa yhteyden www-sivulla olevaan laskuriin aina saastutettuaan uuden tietokoneen. SecuriTeamin blogiin kirjoittanut tutkija Gadi Evron arvelee, että tilanne ei ole yhtä synkkä kuin laskuri antaa ymmärtää. Laskurin lukema oli tiistaina noin 700 000:ssa.

Evronin mukaan viranomaisilta ja operaattoreilta saatujen tietojen perusteella sähköpostimato on saastuttanut kyllä satoja tuhansia tietokoneita. Matoliikennettä tuli alkuviikosta noin 300 000 erillisestä ip-osoitteesta. Evron ei kerro, onko tilastossa arvioitu yritysten palomuurien ja yhdyskäytävien vaikutusta.

Nyxem.E on monella tavalla perinteinen sähköpostimato. Sen suhteellisen vauhdikas leviäminen johtuu ilmeisesti madon lähettämien sähköpostiviestien sisällöstä; viestit antavat ymmärtää, että liitetiedostoissa on pornovideoita tai kuvia. Tyypillisiä otsikkoja ovat esimerkiksi "School girl fantasies gone bad" ja "Fuckin Kama Sutra pics."

Mato on kuitenkin poikkeuksellisen vaarallinen. Siihen on kirjoitettu tuhorutiini, joka turmelee sisäverkon jaetuista kansioista ja saastuneilta tietokoneilta tiedostoja. Tulilinjalla ovat zip- ja rar-arkistot, pdf-dokumentit sekä Microsoftin Office -ohjelmien tiedostomuodot.

Ensimmäisen kerran tuho-ominaisuus käynnistyy ensi viikon perjantaina ja sen jälkeen joka kuukauden kolmas päivä. Mato korvaa tiedostojen sisällön viestillä "DATA Error [47 0F 94 93 F4 K5]".

Käytännössä kaikki virustorjuntayhtiöt ovat laatineet tunnisteen Nyxem.E-madolle. Myös Snort-ohjelmalle on saatavilla allekirjoitus, joka tunnistaa madon.

Internet Storm Center käyttää madosta nimeä Blackworm,

Kama Sutra -madolla on monta nimeä

AntiVir Worm/KillAV.GR
Avast! Win32:VB-CD [Wrm]
AVG Worm/Generic.FX
BitDefender Win32.Worm.P2P.ABM
ClamAV Worm.VB-8
Command W32/Kapser.A@mm (exact)
Dr Web Win32.HLLM.Generic.391
eSafe Win32.VB.bi
eTrust-INO Win32/Blackmal.F!Worm
eTrust-VET Win32/Blackmal.F
Ewido Worm.VB.bi
F-Prot W32/Kapser.A@mm (exact)
F-Secure Email-Worm.Win32.Nyxem.e
Fortinet W32/Grew.A!wm
Ikarus Email-Worm.Win32.VB.BI
Kaspersky Email-Worm.Win32.Nyxem.e
McAfee W32/MyWife.d@MM
Nod32 Win32/VB.NEI worm
Norman W32/Small.KI
Panda W32/Tearec.A.worm
QuickHeal I-Worm.Nyxem.e
Sophos W32/Nyxem-D
Symantec W32.Blackmal.E@mm
Trend Micro WORM_GREW.A
VBA32 Email-Worm.Win32.VB.bi
VirusBuster Worm.P2P.VB.CIL

Lähde: Sunbelt

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Nuori mies hyppäsi mereen Naantalissa ja katosi