Tietoturva

Bagle löysi client/server-arkkitehtuuriin

Julkaistu:

Bagle-matojen tekijät aloittivat eilen vyörytyksen uusilla haittaohjelmilla ja leviämismenetelmillä. Sähköpostiosoitteiden keruussa hyödynnetään client/server-arkkitehtuuria. Saastuneet koneet lähettävät eteenpäin sähköpostiviruksia ja downloader-ohjelmia.
F-Securen mukaan tiistaina löytyi neljä downloader-tyyppistä Bagle-ohjelmaa, jotka eivät leviä, vaan lataavat lisää haittakoodia koneelle. Lisäksi yhtiö löysi kaksi varsinaista sähköpostiviesteillä leviävää Bagle-sähköpostimatoa.

Tutkimusjohtaja Mikko Hyppönen arveli tapausta selventävässä blogiviestissään, että todennäköisesti myös sähköpostimatoja on liikkeellä kaikkiaan neljä. Sähköpostimadot lähettävät matojen tapaan kopioita itsestään, mutta levittävät myös downloader-ohjelmia sähköpostiviesteissä, Hyppönen kertoo.

Kaspersky Labs kertoo puolestaan, että uusien Bagle-versioiden vyörytys osoittaa viruskirjoittajien ja roskapostittajien toimivan yhteistyössä. Yhtiön mukaan ainakin yksi uusista madoista lähettiin, jotka on kerätty helmikuun aikana roskapostittajien käyttämällä SpamTool-ohjelmalla.

Client/server

Hyppösen mukaan uusimmat Baglet käyttävät sähköpostiosoitteiden keruussa client/server-arkkitehtuuria. Normaalisti mato kerää osoitteet tietokoneen kiintolevyltä.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Uudessa menetelmässä asiakasohjelma, eli tietokoneen saastuttanut Bagle-mato, ottaa yhteyden netissä sijaitsevaan taustapalvelimeen, josta se saa kerralla 50 osoitetta. Lähettyään viruspostit mato toistaa osoitteiden haun ja lähettää taas viruspostia uusiin osoitteisiin.

Sekavat nimet

Sans-instituutin Internet Storm Center toivoi Bagle-matojen ja downloader-ohjelmien aiheuttaman nimisotkun vuoksi, että virustorjujat saisivat sovittua yhteisestä nimeämiskäytännöstä.

Erityisesti downloader-ohjelmat saivat virustorjujilta kaikkea muuta kuin yhtenäiset nimet. Virustorjunta tunnistaa ohjelmat valmistajasta riippuen muun muassa nimillä Tooso, Glieder, Bagle tai Beagle.

Myös viestintäviraston Cert-fi-ryhmä varoitti tiistaina Bagle.BB:n leviämisestä. BB on yksi neljästä downloader-ohjelmasta.

Kommentit

    Näytä lisää