Lue uutinen mobiilisivustolla

Alamaailma kauppasi wmf-exploit -koodia 4 000 dollarilla

6.2.2006 08:11 Virustutkija Kaspersky Lab on löytänyt todisteita wmf-aukon exploit-koodin myynnistä joulukuussa 2005. Venäläiset krakkeriryhmät, jotka löysivät aukon, kauppasivat exploit-koodia 4000 dollarin hintaan.

- Ensimmäinen havainto exploit-koodista löytyi joulukuun 2005 puolessavälissä, kaksi viikkoa ennen kuin turvayhtiöt havaitsivat erikoisia haittakoodia sisältäviä wmf-tiedostoja, Kasperskyn analyytikko Alexander Gostev sanoi eWeekille.

Gostevin mukaan joulukuun puolessavälissä exploit-koodi oli kaupan useilla verkkosivuilla. Kaksi tai kolme krakkeriryhmää kauppasi koodia 4000 dollarilla. Gostevin mukaan paikkaamattomien Windows-aukkojen exploit-koodeilla on toimivat markkinat.

Kasperskyn mukaan rikollisten tarkoituksena oli levittää vakooja- ja mainosohjelmia haittakoodin avulla. Monet turvayhtiöt protestoivatkin ilmoittajia, jotka asioivat alamaailman kanssa.

Gostevin mukaan tuntematon henkilö havaitsi wmf-aukon joulukuun alkupäivinä. Koodin kehittäminen ja saattaminen valmiiksi markkinoille kesti muutaman päivän. Gostev arvelee myös, etteivät krakkerit täysin ymmärtäneet haavoittuvuuden merkitystä ja pyrkivätkin myymään sen rikollisille nopean voiton toivossa.

Aukkojen etsintään erikoistunut amerikkalainen iDefense vahvisti Kasperskyn huomioita. Yrityksen mukaan ensimmäinen wmf-toiminta havaittiin venäläisillä verkkosivuilla.

Ilmi bugtrag-listalla

Joulukuun 27. päivänä ensimmäinen todiste verkkosivuilla olevista haitallisen wmf-koodin sisältävistä kuvista tuli julki bugtrag-postituslistalla: "Varoitus: seuraava url on käyttänyt hyväksi paikattua
Windows xp:tä, jota suojasi ajantasalla oleva Norton-antivirus".

Varoitus sisälsi url:n, jossa exploit-koodi sijaitsi ja huomautuksen, että sivun avaaminen lataa exploit-koodin. Varoituksen oli lähettänyt noemailpls@noemail.ziper.

- En ihmettelisi, vaikka muutaman kuukauden sisällä ilmestyisi uusi wmf-tapaus. Verkossa on tusinoittain sivuja, joilla krakkerit kauppaavat nollapäivän aukkoja. Heillä on jopa mekanismeja, joilla tarkistetaan koodin toiminta ja virusturvan ohittaminen, iDefensen Jim Melnick sanoi eWeekille.

Marko Mannila toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Nuori mies hyppäsi mereen Naantalissa ja katosi