Suojattuja RAR-pakkauksia - Tietoturva - Ilta-Sanomat

Baglen tekijä vaikeutti jälleen tunnistusta

Viikonloppuna löydetty uusi Bagle.N-mato yrittää harhauttaa virutorjuntaohjelmia leviämällä salasanasuojattujen rar-pakkauksien siivittämänä. Virustorjujat ovat päivittäneet pitkin viikonloppua ohjelmiaan taipumaan myös suojattujen rar-tiedostojen skannaukseen.

15.3.2004 10:49

Virustorjujien saatua zip-tunnistuksensa kuntoon Bagle-madon tekijä tai tekijät ovat vaikeuttaneet tunnistusta jälleen. Uusi Bagle.N käyttää leviämiseen zip-pakkausten lisäksi rar-pakkauksia. Kissa ja hiiri -leikin luonteen mukaisesti mato yrittää lopettaa noin 300 eri prosessia, joista valtaosa kuuluu erilaisille tietoturvaohjelmille.

Suojattujen matotiedostojen salasana löytyy virusviesteistä tällä kertaa kuvana, koska jotkut virustorjuntaohjelmistot käyttivät tekstimuotoista salasanaa pakkauksen avaamiseen ja tunnistukseen.

F-Securen tutkimusjohtaja Mikko Hyppönen kertoi lauantaina yhtiön nettilokissa viruskirjoittajan yrittävän uusilla ominaisuuksilla kiertää virustorjujien päivitetettyjä tunnistustapoja.

Rar-tunnistuksia viikonloppuna

Hyppösen mukaan Bagle.N levisi alkumetreillä yllättävän nopasti viikonloppuna löydetyksi madoksi. Tietoturvayhtiö McAfee kertoi saaneensa noin sata havaintoa lauantain aikana madosta, mitä yhtiö piti niin ikään korkeana lukuna viikonloppumadolle. Virustorjuntayhtiöt ovat luokitelleet madon yleisesti keskitason uhaksi.

Virustorjujista muun muassa McAfee, Trend Micro, Sophos ja Symantec kertoivat viikonlopuna päivittäneensä ohjelmansa tunnistamaan myös salasanasuojatut rar-tiedostoja.

Bagle madosta löydettiin myös viikonloppuna myös O-versio. Molemmat uudeet madon leviävät sähköpostiviesteissä, joiden otsikkot ja sisältöteksti vaihtelevat ("E-mail account security warning, Re: Hello yms.) . Aiempien Bagle-matojen tapaan madot asentavat saastuttamilleen koneille takaportin.

Osion tuoreimmat

Luitko jo nämä?