Pnp-virusperheiden välinen sota kiihtyy
0
Maailmalla kiivaasti levinneet Windowsin plug and play -aukkoa hyödyntävät verkkomadot ja niiden tekijät ovat sodassa keskenään, kertoo F-Secure. Satoihin yritysverkkoihin levinneet Zotob-, Bozori- ja Ircbot-virusperheiden variantit kilpailevat huomiosta ja kampittavat toisiaan aina tilaisuuden tullen.
"Meneillään näyttää olevan eri virusperheiden välinen sota. Kolme eri virustenkirjoittajajengiä lähettää hälyttävällä tahdilla uusia viruksia ikään kuin kilpaillakseen siitä, että kuka rakentaa laajimman saastuneiden koneiden verkoston", F-Securen tutkimusjohtaja Mikko Hyppönen sanoo.
Kaksi kilpailevaa leiriä
Hyppönen kertoo lisäksi että: "Viimeisimmät Bozori-perheen variantit poistavat Zotob-viruksen koneista." Bozori tuhoaa myös Rbot- ja Sdbot-matoja. Myös Ircbot on lähtenyt tuhoamislinjalle, joka kohdistuu ainakin Zotob-matojen a- ja b-verisoihin.
F-Securen selvityksen mukaan näyttäisi siltä, että kisassa olisi kaksi leiriä. Ircbot- ja Bozori-matoperheet taistelevat yhdessä Zotobia ja muita pnp-matojen versioita vastaan.
"Kaikki variaatiot toimivat periaatteessa samalla tavalla, mutta niihin on lisätty uusia ominaisuuksia", kertoo puolestaan Joe Hartmann, virustorjuntatutkimuksesta vastaava johtaja Trend Microsta. "Esimerkiksi eilen löydettyyn Zotob.C-matoon oli liitetty massapostitusominaisuus. Tämä voi johtaa viruksen laajaan ja nopeaan leviämiseen ympäri maailmaa", Hartmann varoittaa.
Satoja yrityksiä epidemian kourissa
Kiihtyvällä tahdilla leviävät variantit vaivaavat suuria yhtiöitä ympäri maailmaa. Suomessa muun muassa Tietoenator myönsi erään hyvin tuoreen viruksen aiheuttaneen yhtiön sisällä epidemian, vaikkakaan yhtiö ei kertonut tarkemmin mistä tihulaisesta oli kyse.
Erityisesti Yhdysvaltojen suuret yritykset ovat raportoineet virusten tunkeutumisesta järjestelmiinsä. Todennäköisesti tartunnat ovat tulleet saastuneista kannettavista tietokoneista, jotka on tuotu yhtiön palomuurin ulkopuolelta. Saastuneet koneet alkavat käynnistelemään itseään uudelleen, joka keskeyttää tehokkaasti työnteon.
Venäläisen Houseofdadus-henkilön haittakoodi
Microsoft julkisti viime viikon tiistaina kuukausittaisen Windowsin tietoturvapäivityksen, joka sisälsi muutamia kriittisiä päivityksiä muun muassa plug and play -palvelussa olleeseen haavoittuvuuteen.
F-Securen mukaan 'Houseofdadus'-nimellä kutsuttu venäläinen henkilö julkisti heti seuraavana päivänä koodin, jonka avulla plug and play -haavoittuvuuden sisältävät Windows 2000 -koneet voidaan kaapata.
Zotob.A -mato löydettiin neljä päivää myöhemmin sunnuntaina 14. päivä. Tuntematon taho yhdisti Houseofdabus koodin matoon, joka leviäisi automaattisesti internetissä. Tapaus on verrattavissa toukokuun 2004 Sasser-epidemiaan, kun Sven Jaschen -niminen virustenkirjoittaja yhdisti Houseofdabus' LSASS -koodin pahamaineiseen Sasser-matoon.
Eiliseen mennessä mennessä F-Secure on löytänyt yhdeksän uutta haitallista koodia Ircbot-, Sdbot-ja Bozori-perheiden varianteista, jotka hyödyntävät samaa tietoturva-aukkoa leviämisessään.
Plug and play -madot saastuttavat vain Windows 2000 -käyttöjärjestelmän koneita, joita ei ole suojattu palomuurilla. Mato monistaa itseään etsimällä suojaamattomia koneita tcp-portista 445, ja koneen löytyessä se lataa pääviruksen ftp-yhteyden kautta. Tämän jälkeen se luo saastuneeseen koneeseen ftp-palvelimen ja alkaa etsiä lisää suojamaattomia koneita jatkaakseen leviämistä.
