Botkrig vokser sig større og stærkere

Voksende antal smittede netværk og PC’ere verden over, baserer sig på tre virusfamilier:

Zotob, Bozori og Ircbot.

Tirsdag d. 9. August, frigav Microsoft deres månedlige sikkerhedspatches for Windows. Dette inkluderede adskillige kritiske patches, bl.a. en som lukker en sårbarhed i Microsoft's Plug-and-Play service (MS05-039).

Onsdag d. 10. August, frigav en russisk person ved aliasnavnet 'Houseofdabus' en fungerende kode der kan benyttes til at overtage Windows 2000 maskiner med Plug-and-Play sårbarheden.

Søndag d. 14. August, blev Zotob.A ormen fundet. En ukendt part havde inkorporeret Houseofdabus koden  i en orm, som kan spredes automatisk over internettet.  Dette trick er set tidligere, i Maj 2004, hvor virusprogrammøren Sven Jaschan inkorporerede Houseofdabus' LSASS udnyttelseskode i en Sasser orm.

F-Secure har pr. 17. August fundet 9 malwares der udnytter disse faciliteter og spreder sig med ormene Ircbot, SDBot og Bozori familierne.

Ormene inficerer Windows 2000 computere, som enten er fejlet i patchingen eller endnu ikke er rebooted efter patchet er lagt ind og - vigtigt at nævne - som ikke er beskyttet af en personlig firewall. Med andre ord, endnu et godt argument for, at man bør have en personlig firewall på de enkelte PC’ere.

Specielt USA er hårdt ramt. Laptops er under hovedmistanke som smittekilden i større virksomheder, idet at de bæres ind bag perimeter-firewallen og kobles direkte op på netværket.

Det er kun Windows 2000 maskiner uden firewall der rammes. Ormene replikerer sig selv ved at scanne maskinernes port 445/TCP og når et offer er fundet, udnyttes koden til at downloade den primære virusfil via ftp. Der opsættes en ftp-server på den inficerede maskine og herfra startes en scanning efter flere ofre.

"Det ser ud til at vi har at gøre med en ”botkrig”. Der er tre forskellige virus-grupper der frigiver vira og orme i et alarmerende tempo, som om de konkurerer om hvem der kan bygge det største netværk af inficerede maskiner," siger Mikko Hypponen, Chief Research Officer hos F-Secure. "De seneste varianter af Bozori fjerner endda konkurrerende vira såsom Zotob fra maskinerne!"

Skulle der i forbindelse med dette opstå spørgsmål, er man selvfølgelig velkommen til at kontakte C-cure på tlf. 45411446.

Powered by wpsnet.com