Ambrus
-7 °C
3 °C

Windowst foltoz a jólelkű féreg

2003.08.19. 10:34
A hétfőn felfedezett Nachi (más néven Welchia) vírus a Windows-rendszereknek ugyanazt a hiányosságát használja ki, mint a múlt hét óta több százezer gépet megfertőző Blaster féreg. A Nachi azonban behatolás után megkísérli befoltozni a biztonsági rést, és megpróbálja kiirtani a Blastert, később pedig önzetlenül megsemmisíti magát.
A júliusban publikált biztonsági rés a remote procedure call (RPC) szolgáltatásban található, amely többek között a fájlok megosztását és a számítógép nyomtatójának a használatát engedélyezi más felhasználóknak. A Symantec becslése szerint a Blaster múlt heti felbukkanása óta 570 000 Windows XP- és Windows 2000-rendszert fertőzött meg a hiányosságot kihasználva.

Bár a hiba a Windows NT és a Windows 2003 Server operációs rendszerben is megtalálható, a Blastert úgy programozták, hogy azokon a rendszereken ne terjedjen.

A TruSecure biztonságtechnikai cég felmérése szerint a Blaster eddig a vállalati rendszerek húsz százalékát fertőzte meg, a fertőzés fő forrásainak a hordozható számítógépek bizonyultak. A kisebb károk becsült helyreállítási költsége 6500 dollár, a nagyobbaké akár 55 000 dollár is lehet.

Hiába a jó szándék

A hétfőn felfedezett Nachi (a féreg W32.Welchia, W32/Nachi és Worm_MSBlast.D neveken ismert) hasonlít a Blasterhez, azzal a különbséggel, hogy közvetlenül nem kártékony, sőt éppen ellenkezőleg: a behatolás után a Windows angol, koreai és kínai verzióira letölti a biztonsági javítást (egyelőre úgy tűnik, hogy más nyelvű rendszereket nem próbál befoltozni).

Ha Blasterrel fertőzött gépet talál, megkeresi és letörli az msblast.exe vírusfájlt, és megpróbál eltakarítani a féreg után, majd továbbterjed. Saját magát dllhost.exe néven menti el a system32 könyvtárba. A Network Associates közleménye szerint a fájl mérete 12 kilobájt, szemben az eredeti dllhost.exe 5-6 kilobájtos hosszával. A férget úgy programozták, hogy 2004-ben, a számítógép első indításakor kitörölje magát. A Nachi főleg Ázsiában, elsősorban Japánban terjed.

De hiába "jó szándékú" a vírus, a szakértők szerint csaknem ugyanolyan káros, mint társai: miközben újabb sebezhető számítógépeket keres, és sok gépen elkezdi letölteni a javítást, jelentősen lelassítja a vállalati és egyéb hálózatokat. A Network Associates vírusszakértői csoportja ezért közepes veszélyességi kategóriába sorolta a Nachit. Egyes meg nem erősített jelentések szerint a féreg egy másik rést kihasználva támadni is próbál.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Értékeljen, nyerjen!

Van kedvenc légitársasága? Írja meg véleményét itt!