Az MSBlast féreg huszonnégy óra alatt körülbelül százhúszezer számítógépet fertőzött meg világszerte, annak ellenére, hogy sok szakértő szerint a kártékony program meglehetősen silány munka. A féreg sikere nagy részben annak köszönhető, hogy a Windows felhasználók nem töltötték le azt a hibajavítást, amely már július óta elérhető. Szerdán egy új variáns is megjelent.
A számítógépes biztonsági megoldásokkal foglalkozó Symantec szerint az MSBlaster a Windows 2000 és Windows XP rendszerek DCOM RPC hiányosságát használja ki a százharmincötös TCP porton keresztül. Bár a hiba a Windows NT és a Windows 2003 Server operációs rendszerben is megtalálható, a férget úgy programozták, hogy azokon a rendszereken ne terjedjen. A kártékony program először letölti az msblast.exe fájlt a Windows system32 könyvtárába, majd lefuttatja, és egy bejegyzést ír a regisztrációs adatbázisba, hogy a program a számítógép újraindítása után is aktivizálódjon.
A féreg nem küld leveleket a felhasználó számítógépén található e-mail címekre, de augusztus 16-tól kezdődően Denial-of-Service (DoS) támadást intéz a Windows hibajavításait tároló Microsoft-szerverek ellen.
Több millió veszélyeztetett
Az MSBlast terjedését folyamatosan figyelő Symantec szerint a féreg óránként mintegy 2500 új számítógépet fertőz meg. A vállalat összesen több mint kétszázezer esetet regisztrált. Alfred Huger a Symantec biztonsági csoportjának vezető mérnöke úgy véli, hogy még több millió számítógépet veszélyeztet a féreg, feltéve, hogy az érintettek frissítik rendszerüket.
A legnagyobb problémát az okozza, hogy a figyelmetlen otthoni felhasználók és a túlságosan elfoglalt vállalati rendszergazdák nem telepítették a javítást, írta a Cnet. A Microsoft szinte mindent megtett a hiba elhárításának érdekében, egyrészt tájékoztatta az internetezőket a hibáról, másrészt júliusban kiadta a hibajavítást is, amelyet bárki ingyenesen letölthet a vállalat weboldaláról. A vállalat most aggódva figyelheti, hogy a saját ügyfeleinek a számítógépéről szombat hajnalban elinduló DoS támadás milyen hatással lesz a szervereire.
Régi luk
A közel egy hónapja publikált biztonsági rés a remote procedure call (RPC) szolgáltatásban található, amely többek között a fájlok megosztását és a számítógép nyomtatójának a használatát engedélyezi más felhasználóknak. Túl sok adatot küldve az RPC-re a támadó átveheti az irányítást a számítógép fölött.
Kövesse az Indexet Facebookon is!
Követem!
