Tietoturva

Korjaus: Mocbot hyödyntää vanhaa PnP-haavaa

Julkaistu:

F-Secure, McAfee ja Cert-fi kertovat ensimmäisten analyysien viikonloppuna löytyneestä Mocbot-botista menneen harhaan. Botti ei hyödynnäkään uutta Plug and Play -haavoittuvuutta vaan vanhaa, elokuussa tukittua aukkoa.
Digitoday kertoi ensimmäisen MS05-047-aukkoa hyödyntäneen haittaohjelman löytymisestä maanantaina aamupäivällä. Uutisen virheellinen tieto perustui F-Securen analyysiin, josta yhtiö kertoi blogissaan sunnuntaina. Viestintäviraston Cert-fi varoitteli Mocbotista maanantaina.

Myöhemmin maanantaina sekä Cert-fi että F-Secure pyörisivät puheensa. Cert-fi korjasi tiedot aamupäivällä Tietoturva Nyt -palstallaan. F-Securen sivuilla julkaistun viruskuvauksen mukaan botin hyödyntämä haavoittuvuus on muun muassa Zotobin käyttämä MS05-039-haavoittuvuus. Microsoft tukki kyseisen Plug and Play -komponentin aukon jo elokuun puolivälissä.

Suurta merkitystä asialla ei ole, koska automaattinen leviämismenetelmä puree sekä uudemman että vanhan haavan tapauksissa vain Windows 2000 -tietokoneisiin, joissa ei ole kumpaakaan Microsoftin päivityksistä.

Myös yhdysvaltalainen tietoturvayhtiö McAfee erehtyi ensimmäisessä analyysissaan. Yhtiön viruskuvaukseen on ilmestynyt julkaisun jälkeen päivitys, jonka mukaan virhe johtuu uudemman ja vanhan aukon hyödyntämismenetelmien yhtäläisyyksistä.

Kommentit

    Näytä lisää