Koodia jaetaan zombie-koneilta - Tietoturva - Ilta-Sanomat

Bagle vaihtoi liitteet tietoturva-aukkoon

Bagle-madosta on torstaina löydetty neljä uutta versiota. Virusskannereille haastelliset madot ei enää leviä sähköpostin liitteenä, vaan hyödyntävät Internet Explorerin html-haavoittuvuutta. F-Secure on antanut madoista kakkostason radar-hälytyksen.

18.3.2004 14:49

Torstaiaamuna löydetystä Bagle.Q-madosta löydettiin nopeasti myös pieniä muutoksia sisältävät R-, S- ja T-versiot. Mato ei enää leviä sähköpostin liitetiedostoissa. Uudet Baglet käyttävät leviämiseen Microsoftin alunperin viime vuoden elokuussa paikkaamaa Internet Explorer Object Data Remote Execution -aukkoa, F-Secure kertoo.

Madon sähköpostit sisältävät toimivan hyväksikäytön aukolle. Haavoittuvat Windows-koneet lataavat automaattisesti sähköpostin avaamisen jälkeen verkosta lisää skriptejä ja lopulta varsinaisen haittaohjelman. Tartunnan jälkeen mato jatkaa leviämistään. Tartuntaan riittää myös pelkkä viestin esikatselu.

Bagle saastuttaa myös exe-tiedostoja, F-Securen viruskuvauksessa kerrotaan.

Zombie-koneet käytössä

F-Securen tutkimusjohtaja Mikko Hyppönen kertoo Bagle-madon tekijän käyttävän matokoodin jakeluun aiempien matojen saastuttamia koneita. Uudet Bagle-madot sisältävät satojen ip-osoitteiden listan, joista haittakoodia yritetään asentaa koneelle.

Virustorjuntayhtiö Sophosin mukaan madon leviäminen voidaan estää Microsoftin päivityksien lisäksi estämällä liikenne tcp-porttiin 81. Yhtiö kertoo madon saastuttamien sähköpostien suodattamisen olevan virustorjuntaohjelmille vaikeaa, koska viesteissä ei ole erillistä liitetiedostoa.

Osion tuoreimmat

Luitko jo nämä?