Windows-tuholaiset vauhdissa Suomessakin
0
Windowsista viime viikolla löydetty kytke ja käytä -turva-aukko on joutunut todellisen pommituksen kohteeksi, ja Suomestakin on löydetty jo satoja matotartuntoja. Ensimmäinen mato uhkasi haavoittuvuutta jo ennätykselliset viisi päivää löydön jälkeen, ja nyt asialla on kaksi uutta Zotob-versiota, sekä Suomesta löydetty vieläkin vaarallisempi Ircbot-mato.
Trend Micron mukaan Yhdysvalloista ja Saksasta on tavattu jo satoja Zotob-tartuntoja. F-Secure kertoo, että yhtiön viruslaboratorioon otettiin yhteyttä maanantai-iltapäivänä suomalaisesta organisaatiosta, jossa Ircbotin uusi versio oli saastuttanut useita satoja Windows-koneita.
Vanha mato sai vaarallisen lisukkeen
F-Secure huomasi analyysissään, että aikaisemminkin tunnettu Ircbot oli saanut tehostuksekseen uuden leviämistavan. Aikaisemman salasanojen arvaamisen ja vanhemman rpc-turva-aukon lisäksi Ircbot käytti nyt alle viikon vanhaa plug and play -turva-aukkoa.
Suomalaisen organisaation tapauksessa koneet olivat sisäverkossa palomuurilaitteen takana, mutta kun yksi kone oli saastunut, oli madon helppo levitä verkossa plug and play -aukon kautta. Yrityksissä ei usein käytetä Windowsin automaattista päivitystoimintoa, koska päivitykset halutaan ensin testata yhteensopivuuden varmistamiseksi. Uudet madot ovat tehokas muistutus siitä, että päivitykset tulee asentaa niin nopeasti kuin suinkin mahdollista.
Heti kaksi uutta versiota Zotobista
Ensimmäisenä plug and play -aukon kimppuun hyökkäsi viikonloppuna Zotob-mato, joka perustui aikaisempaan Mytob-matoon ja houseofdabus-ryhmän kehittämään hyökkäyskoodiin.
Maanantaina löydettiin kaksi uutta Zotob-versiota. Zotob.B:n ja myöhemmin löydetyn Zotob.C:n toiminta on periaatteessa hyvin lähellä alkuperäisen madon toimintaa, eikä matoihin ole tehty suuria muutoksia.
Se, että hyökkääjät ovat tarttuneet innolla, ja jo neljän madon voimin, nimenomaan plug and play -haavoittuvuuteen on hienoinen yllätys. Microsoftin paikkaamista turva-aukoista löytyi huomattavasti vaarallisempia reikiä, varsinkin Internet Explorer -selaimesta. Plug and play -matojen pysäyttäminen on melko helppoa millä tahansa palomuurilla, eivätkä ne leviä lainkaan Windows XP:n sp2-versioissa.
