Verkkomato iski heti Windows-reikiin
0
Internetissä leviää uusi Zotob-verkkomato, joka iskee Windowsista viime viikon tiistaina löytyneeseen kriittiseen plug and play -turva-aukkoon. Armonaikaa aukkojen paikkaamiseen ei siis jäänyt kuin vaivaiset viisi päivää, ja virustorjujia avoimesti uhkailevan Zotobin alkuvaihe muistuttaakin pahamaineisen Sasserin kehityskaarta.
F-Secure kertoo, että Zotob-mato perustuu aikaisemman Mytob-madon lähdekoodiin. Zotobin tekijät eivät todennäköisesti ole itse kehittäneet uutta turva-aukkoa hyödyntävää leviämistekniikkaa, vaan matoon on käytetty houseofdabus-ryhmän neljä päivää sitten kehittämää hyökkäyskoodia.
F-Securen mukaan koko tapauksessa on ikävä tuntu, joka muistuttaa läheisesti Sasseria. Näin siksi, että myös Sasser julkaistiin vain kaksi päivää sen jälkeen kuin samainen houseofdabus julkaisi hyökkäyskoodin silloiseen lsass-turva-aukkoon.
Uhkailee virustorjujia
F-Secure kuitenkin arvioi, ettei Zotobista ole tulossa Sasserin tapaista uhkaa, sillä useimmat vähänkään järkevästi suojatut Windows-koneet ovat turvassa. Turva-aukkoa ei ensinnäkään löydy service pack 2 -päivityksellä korjatuista Windows XP -koneista. Sen lisäksi mato on helppo pysäyttää tavallisella palomuurilla, joka yleensä automaattisesti sulkee Zotobin käyttämän tcp-portin 445.
Jos mato kuitenkin pääsee koneelle, se lataa koneelle varsinaisen haittakoodin. Uhrikoneesta tulee uusi viruspalvelin, joka etsii netistä seuraavia uhreja.
F-Secure löysi viruksen lähdekoodista uhkauksen. Vapaasti suomennettuna viesti kuuluu: "Viesti virustorjujille: ensimmäinen virustorjuja, joka tunnistaa tämän madon tapetaan ensimmäisenä seuraavan 24 tunnin aikana!!!"
