Viruskirjoittajat kiireisiä - Tietoturva - Ilta-Sanomat

Netsky.D spammattiin lentävään lähtöön

F-Securen mukaan yksinkertaisen Netsky.D-madon räjähtävä leviäminen johtuu siitä, että mato massapostitettiin suurelle joukolle maanantaina. D-version lisäksi maanantaina löydettiin vielä Netsky.E sekä Bagle-virusperheen H-variantti.

2.3.2004 8:47

F-Securen Skandinavian virustilaston mukaan Netsky.D:n osuus virushavainnoista nousi alle vuorokaudessa yli 65 prosenttiin. Kuusi uutta Bagle-versiota eivät sen sijaan näytä leviävän kovinkaan vauhdikkaasti. Näistä korkeimalle tilastoissa on kohonnut Bagle.F 0,8 prosentin osuudellaan.

Tutkimusjohtaja Mikko Hyppösen mukaan Netsky.D saattaa ohittaa levinneisyydessään Mydoom.A- ja Sobig.F-madot, jos se jatkaa leviämistään tällä vauhdilla.

Netsky.D on jo vuoden neljäs virus, joka on saanut F-Securelta korkeimman uhkaluokituksen.

Koneet piippaamaan

Netsky ei käytä leviämisessään haavoittuvuuksia vaan tartunnan saamiseksi käyttäjän on avattava liitteenä saapuva pif-tiedosto. Ainuterityispiirre Netsky.D-madossa on se, että tiistaiaamuna 2.3. se soittaasaastuttamansa koneen kovaäänisistä sattumanvaraisia piippaavia ääniä, F-Secure kertoo.

Clearswithin Chy Chuawiwat sanoi Zdnet-uutispalvelulle uskovanssa, että venäläiset rikolliset ovat tehneet Netskyn muokkaamalla Sobig-matojen lähdekoodia. Chuawiwatin mukaan kaikki viittauksen madon alkuperästä osoittavat Venäjälle.

Bagle-sotaa

Viisi uutta varianttia alle 48 tunnissa saaneesta Bagle-madosta löydettiin maanantaina vielä yksi uusi versio, Bagle.H. F-Securen mukaan uudet matoversiot näyttävät olevan saman kirjoittajan käsialaa.

Hyppösen mukaan vaikuttaa siltä, että Bagle-virusten kirjoittaja on ryhtymässä sotaan.

- Ilmeisesti kirjoittaja on tarkkaillut tiiviisti kuinka nopeasti virusten torjujat ovat saaneet julkaistua poistotyökalut. Tämän jälkeen hän on tehnyt matoon tarvittavat korjaukset ja lähettänyt uuden version matkaan välittömästi, Hyppönen selitti.

Pyrkii kiertämään virustutkat

Bagle.F ja Bagle.G lähettävät saastuneita liitteitään salattuina zip-tiedostoina, jotka on suojattu viestin runkoon sisällytetyllä salasanalla. zip-tiedostot itsessään vaihtelevat, koska niiden sisältämä .EXE-tiedosto sisältää sattumanvaraisen osan.

F-Securen mukaan luultavimmin virus pyrkii tämän ominaisuuden avulla ohittamaan palvelinten liikennettä seuraavat tutkat, jotka eivät useinkaan pysty avaamaan tiedostosalausta.

Osion tuoreimmat

Luitko jo nämä?