Háborúba kezdtek a vírusírók
forrás Prim Online, 2005. augusztus 17. 17:34
A vírusírók célja, hogy minél több fertőzött számítógépből álló hálózatot vonjanak az irányításuk alá. A világ számos nagy szervezeténél riadókészültséget rendeltek el a napokban megjelent három féregcsalád - a Zotob, a Bozori és az IRCbot - újabb és újabb variánsai miatt.
Augusztus 9-én, kedden adta ki a Microsoft a Windows legújabb biztonsági frissítéseit. Ez a csomag számos kritikus javítást tartalmazott: egyikük a Microsoft Plug-and-Play szolgáltatás sebezhetőségét szüntette meg (MS05-039).
Augusztus 10-én, szerdán egy orosz nemzetiségű, Houseofdabus néven ismert személy olyan kódot adott ki, amely a Plug-and-Play sebezhetőségre építve képes a nem frissített Windows 2000 operációs rendszert használó számítógépek feletti irányítás átvételére.
Augusztus 14-én, szombaton észlelték a Zotob.A férget. Egy ismeretlen személy vagy társaság a Houseofdabus által készített kódot beépítette a féregbe, ami így már automatikusan terjed az interneten. A mostani eset kísértetiesen hasonlít a 2004 májusában történtekre, amikor Sven Jaschen vírusíró a LSASS sebezhetőséget kihasználó Houseofdabus-kódot építette be az azóta elhíresült Sasser féregbe.
Augusztus 17-ig, szerdáig az F-Secure kilenc olyan rosszindulatú kódot észlelt, amely ugyanazt a kódot használja a terjedéshez, többek között IRCbot, Zotob és Bozori variánsokat.
E férgek folyamatosan fertőzik azokat a Windows 2000 számítógépeket, amelyekre nem töltötték le a frissítést, a javítás telepítése óta nem indítottak újra, vagy nem védi őket tűzfal. A fertőzésekről folyamatosan futnak be jelentések a nagy szervezetektől, elsősorban az Egyesült Államokból. Ezekben a szervezetekben a fertőzés nagy valószínűséggel olyan fertőzött laptopokról ered, amelyeket bevittek a szervezet tűzfala mögé.
Az új Plug-and-Play férgek csak azokat a Windows 2000 operációs rendszert használó számítógépeket fertőzik meg, amelyeket nem véd tűzfal. E féreg a terjedéshez a számítógépek 445/TCP portját vizsgálja, és megfelelő védelem híján a sebezhetőséget kihasználó kód segítségével FTP protokollon keresztül letölti a fő vírusfájlt. Ezután telepít egy FTP szervert a fertőzött számítógépre, majd további célpontokat keres a terjedéshez.
"Úgy tűnik, hogy botháborúval állunk szemben. Nyilvánvalóan három vírusíró bandáról van szó, akik riasztó sebességgel jelentetik meg az új vírusokat - mintha azért versengenének, hogy ki birtokolja a fertőzött számítógépekből álló legnagyobb hálózatot. A Bozori legújabb variánsai még el is távolítják a konkurens Zotob vírusokat a számítógépekről" - jegyezte meg a történtek kapcsán Mikko Hyppönen, az F-Secure Corporation antivírus-kutatási igazgatója.
Augusztus 9-én, kedden adta ki a Microsoft a Windows legújabb biztonsági frissítéseit. Ez a csomag számos kritikus javítást tartalmazott: egyikük a Microsoft Plug-and-Play szolgáltatás sebezhetőségét szüntette meg (MS05-039).
Augusztus 10-én, szerdán egy orosz nemzetiségű, Houseofdabus néven ismert személy olyan kódot adott ki, amely a Plug-and-Play sebezhetőségre építve képes a nem frissített Windows 2000 operációs rendszert használó számítógépek feletti irányítás átvételére.
Augusztus 14-én, szombaton észlelték a Zotob.A férget. Egy ismeretlen személy vagy társaság a Houseofdabus által készített kódot beépítette a féregbe, ami így már automatikusan terjed az interneten. A mostani eset kísértetiesen hasonlít a 2004 májusában történtekre, amikor Sven Jaschen vírusíró a LSASS sebezhetőséget kihasználó Houseofdabus-kódot építette be az azóta elhíresült Sasser féregbe.
Augusztus 17-ig, szerdáig az F-Secure kilenc olyan rosszindulatú kódot észlelt, amely ugyanazt a kódot használja a terjedéshez, többek között IRCbot, Zotob és Bozori variánsokat.
E férgek folyamatosan fertőzik azokat a Windows 2000 számítógépeket, amelyekre nem töltötték le a frissítést, a javítás telepítése óta nem indítottak újra, vagy nem védi őket tűzfal. A fertőzésekről folyamatosan futnak be jelentések a nagy szervezetektől, elsősorban az Egyesült Államokból. Ezekben a szervezetekben a fertőzés nagy valószínűséggel olyan fertőzött laptopokról ered, amelyeket bevittek a szervezet tűzfala mögé.
Az új Plug-and-Play férgek csak azokat a Windows 2000 operációs rendszert használó számítógépeket fertőzik meg, amelyeket nem véd tűzfal. E féreg a terjedéshez a számítógépek 445/TCP portját vizsgálja, és megfelelő védelem híján a sebezhetőséget kihasználó kód segítségével FTP protokollon keresztül letölti a fő vírusfájlt. Ezután telepít egy FTP szervert a fertőzött számítógépre, majd további célpontokat keres a terjedéshez.
"Úgy tűnik, hogy botháborúval állunk szemben. Nyilvánvalóan három vírusíró bandáról van szó, akik riasztó sebességgel jelentetik meg az új vírusokat - mintha azért versengenének, hogy ki birtokolja a fertőzött számítógépekből álló legnagyobb hálózatot. A Bozori legújabb variánsai még el is távolítják a konkurens Zotob vírusokat a számítógépekről" - jegyezte meg a történtek kapcsán Mikko Hyppönen, az F-Secure Corporation antivírus-kutatási igazgatója.
Kapcsolódó cikkek
- Hypponen Budapesten: F-Secure Client Security
- Bűnözői célkeresztben a közösségépítő oldalak
- Elérhető az F-Secure Internet Security 2007 csomagja
- Vírusvilágtérkép az F-Secure-tól
- F-Secure vírusvédelem Windows Mobile 5.0 operációs rendszerre
- Rohamosan terjed a Nyxem.E vírus, és havonta egyszer pusztít
- 20 éves a számítógépes vírus
- Díjnyertes F-Secure anti-vírus szoftver
- Béta MSN Messengernek álcázza magát a vírus
- 40 ezer új vírus
Biztonság ROVAT TOVÁBBI HÍREI
Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz
Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére.
2024. november 22. 11:39