Lue uutinen mobiilisivustolla

Kama Sutra -madon laskuria manipuloitiin

Laskurin lukema perjantaiaamuna.

27.1.2006 10:06 Tietoturvayhtiö Lurhq:n mukaan tuntematon henkilö on manipuloinut lievällä palvelunestohyökkäyksellä Kama Sutra -madon leviämistä seuraavaa laskuria. 279 zombikoneen latauksista siivottu lukema on yhtiön mukaan noin 300 000, ja madon vauhti on hiipumassa, yhtiö kertoo.

Hajautetun palvelunestohyökkäyksen tapaan lähes 300 tietokoneella tehty manipulointi alkoi jo varhain keskiviikkona. Kama Sutra -mato eli Nyxem.E ottaa yhteyden www-sivulla olevaan laskuriin aina saastutettuaan uuden tietokoneen.

Lurhq:n mukaan laskurisivua ylläpitävän palveluntarjoajan kanssa yhteistyössä siivotuista tilastoista käy ilmi, että todellisuudessa saastuneita tietokoneita on noin 300 000 kappaletta. Tilastoista on poistettu myös www-selaimella tehdyt pyynnöt. Välimuistipalvelinten vaikutusta ei sen sijaan ole huomioitu.

Eniten saastuneita tietokoneita on Lurhq:n mukaan Intiassa, Perussa ja Italiassa. Yhtiö julkaisi vain tiedot maista, joissa saastuneita koneita on arvion mukaan yli 2000. Suomea ei listalla näy.

- 300 000 saastunutta käyttäjää maailmalla ei ole hirvittävän iso määrä, jos tätä vertaa aikaisempiin matoihin kuten Soberiin tai Mydoomiin. Tässä tapauksessa huolestuttavinta ei ole saastuneiden käyttäjien määrä vaan madon tuhorutiini.

Mato turmelee sisäverkon jaetuista kansioista ja saastuneilta tietokoneilta tiedostoja. Tulilinjalla ovat zip- ja rar-arkistot, pdf-dokumentit sekä Microsoftin Office -ohjelmien tiedostomuodot.

Ensimmäisen kerran tuhorutiini käynnistyy ensi viikon perjantaina ja sen jälkeen joka kuukauden kolmas päivä. Mato korvaa tiedostojen sisällön viestillä "DATA Error [47 0F 94 93 F4 K5]".

Nyxem.E:n lähettämien sähköpostiviestien tyypillisiä otsikkoja ovat esimerkiksi "School girl fantasies gone bad" ja "Fuckin Kama Sutra pics". Sähköpostin lisäksi mato yrittää levitä sisäverkon jaettuihin kansioihin.

Madosta käytetään myös nimeä Blackworm.

Kama Sutra -madolla on monta nimeä

AntiVir Worm/KillAV.GR
Avast! Win32:VB-CD [Wrm]
AVG Worm/Generic.FX
BitDefender Win32.Worm.P2P.ABM
ClamAV Worm.VB-8
Command W32/Kapser.A@mm (exact)
Dr Web Win32.HLLM.Generic.391
eSafe Win32.VB.bi
eTrust-INO Win32/Blackmal.F!Worm
eTrust-VET Win32/Blackmal.F
Ewido Worm.VB.bi
F-Prot W32/Kapser.A@mm (exact)
F-Secure Email-Worm.Win32.Nyxem.e
Fortinet W32/Grew.A!wm
Ikarus Email-Worm.Win32.VB.BI
Kaspersky Email-Worm.Win32.Nyxem.e
McAfee W32/MyWife.d@MM
Nod32 Win32/VB.NEI worm
Norman W32/Small.KI
Panda W32/Tearec.A.worm
QuickHeal I-Worm.Nyxem.e
Sophos W32/Nyxem-D
Symantec W32.Blackmal.E@mm
Trend Micro WORM_GREW.A
VBA32 Email-Worm.Win32.VB.bi
VirusBuster Worm.P2P.VB.CIL

Lähde: Sunbelt

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Nuori mies hyppäsi mereen Naantalissa ja katosi