Pahaan Windows-aukkoon ensimmäiset hyökkäykset
0
Microsoftin elokuun tietoturvapäivitysten pahinta ongelmaa on ryhdytty heti käyttämään hyväksi. Kriittiseen Windows-aukkoon on alettu netissä levittää valmista hyökkäyskoodia, ja sen pohjalta on tehty jo ensimmäinen haittaohjelmakin. Aukon kautta asennetaan takaporttiohjelmaa, jolla kerätään koneita hyökkäysverkkoon.
MS06-40 oli Microsoftin viime viikolla julkaisemista päivityksistä vaarallisin. Esimerkiksi Yhdysvaltojen Homeland Security -toimisto antoi asiasta harvinaisen varoituksen ja kehotti kaikkia Windows-käyttäjiä ja yrityksiä asentamaan päivityksen heti. Vielä samalla viikolla aukkoon julkaistiin hyökkäyskoodi ja Microsoft varoitti asiasta perjantaina.
Hyökkäyskoodi ei kuitenkaan onneksi toimi vielä Windows XP service pack 2 -tasoisissa koneissa, eikä Windows Server 2003 -palvelimissa. Sen sijaan hyökkäys toimii Windows 2000 -koneissa sekä Windows XP -koneissa, jotka ovat vielä päivitystasolla service pack 1.
Mocbot leviää
F-Secure kertoo, että hyökkäyksen avulla on heti tehty haittaohjelma. Ensimmäinen tunnetaan nimellä Mocbot tai Backdoor.Win32.IRCBot.st. Nimiensä mukaisesti haittaohjelma on tarkoitettu bot-hyökkäysverkkojen rakentamiseen. Ohjelma tulee koneelle haavoittuvuuden kautta ja asentaa takaporttiohjelman, jota hyökkääjä voi hallita. Saastuneiden koneiden verkkoa voi sitten käyttää rikollisiin tarkoituksiin, esimerkiksi roskapostin lähettämiseen tai palvelunestohyökkäyksien tekemiseen.
F-Securen mukaan bot-ohjelma ottaa yhteyttä irc-palvelimiin seuraaviin kahteen osoitteeseen: bbjj.househot.com:18067 ja ypgw.wallloan.com:18067. Yritysverkkojen ylläpitäjät voivat sulkea yhteydet näihin kohteisiin tai ainakin seurata niitä.
