Prim Hírek

A CERT Coordination Center kedden egy új, önmagát terjesztő vírusra hívta fel a figyelmet, aminek a sadmind/IIS féreg nevet adták. Egy olyan jól ismert hiányosságot kihasználva, amely mindkét operációs rendszerben megtalálható, a féreg a Sun Solaris szerverből egy robotot csinál, ami csendben besurran az IIS-t futtató Windows NT vagy 2000 rendszerekbe, és elcsúfítja az ott található honlapokat.

Shawn Hernan a CERT-től az internetnewsnak elmondta, hogy hétfő délre több mint 30 Solaris rendszer rendszergazdája jelentette, hogy egy olyan vírus fertőzte meg a rendszert, ami a sadmind néven ismert Solstice komponens egy puffer túlcsordulási hibáját kihasználva root jogokat szerez, és átveszi az irányítást. A rendszergazdák először nem is vették észre, hogy a megfertőzött Sun számítógépeken egy olyan script futott, ami a Windows NT és 2000 rendszerek hibáját kihasználva több mint 2000 távoli IIS szervert sodort veszélybe.

A log fájlokat - amelyeket a féreg készített a Solaris rendszeren - felhasználva az internetes biztonsággal foglalkozó központ elkezdte felvenni a kapcsolatot a veszélyben levő Windows rendszerek adminisztrátoraival. A sadmind/IIS féreg a megfertőzött Solaris számítógépek 80-as portján keresztül terjed, és véletlenszerű IP-címeket vizsgálva más Solaris vagy IIS szerverek jelét keresi. Ha sikerül találnia egy másik sebezhető Solaris számítógépet, akkor a féreg feltölti támadó eszközét, a root.exe-t, és megfertőzi a szervert.

A sadmind/IIS féreg nem semmisíti meg az adatokat a megfertőzött Solaris vagy IIS számítógépeken, de Hernan szerint a Solaris rendszereket sokkal védtelenebbé teszi további támadások esetére. A féreg gyors terjedésre azt mutatja, hogy nagyon sok Solaris rendszer adminisztrátora még telepítette a Sun által 1999 december 29-én kiadott javítást.