Nowy robak buduje wielki botnet
2 grudnia 2008 21:17 Daniel Cieślak
W Sieci pojawił się nowy robak, infekujący komputery z Windows przez lukę w usługach Windows Server. "Szkodnik" przekształca zainfekowane maszyny w element botnetu - ich liczba szybko rośnie, mimo, iż Microsoft już miesiąc temu udostępnił poprawkę usuwającą błąd wykorzystywany przez robaka.
O wykryciu nowego zagrożenia poinformowali specjaliści z firmy Trend Micro - z ich analiz wynika, że liczba komputerów zainfekowanych przez robaka przekroczyła już 500 tys. Firma nazwała program "Downad.a" (Microsoft używa określenia "Conficker.a", zaś Symantec - "Downadup"). "Liczba zarażonych maszyn szybko rośnie. Na razie nowy botnet nie może jeszcze mierzyć się - pod względem liczby zainfekowanych komputerów - z Krakenem czy Stormem, ale tempo jego wzrostu jest bardzo szybkie" - mówi przedstawiciel Trend Micro.
Szczególnie niepokojące jest to, że robak wykorzystuje lukę, która już kilka tygodni temu została załatana przez Microsoft (poprawka została udostępniona poza zwyczajowym cyklem uaktualnień - opublikowano ją 23 października, po wykryciu pierwszych ataków z wykorzystaniem błędu). Downad.a korzysta z błędu w zabezpieczeniach usługi Windows Server (domyślnie zainstalowanej i uaktywnionej w Windows - jej zadaniem jest zapewnienie połączeń z innymi komputerami czy drukarkami w sieci).
Choć pierwsze przypadki wykorzystania tej luki do atakowania komputerów zaobserwowano w południowej Azji, to teraz infekowane są już komputery z całego świata - na przygotowanej przez Trend Micro mapie nowego botnetu znalazły się m.in. komputery z USA, Chin, Indii, Bliskiego Wschodu, Europy oraz Ameryki Południowej. Pierwsze kopie "szkodnika" wykryto już na początku minionego tygodnia (wtedy po raz pierwszy ostrzegał przed nim Microsoft), jednak wtedy nie był on szczególnie aktywny - masowe infekcje zaczęły się dopiero przed samym weekendem.
Co ciekawe, eksperci z Trend Micro twierdzą, że nowy botnet jest dziełem zupełnie nowej grupy przestępczej, która najwyraźniej korzysta z tego, że w ostatnich tygodniach specjaliści ds. bezpieczeństwa zdołali usunąć z Internetu kilka znanych od dawna i wyjątkowo aktywnych botnetów - m.in. "Srizbi" oraz "Rustock". Dzięki tym działaniom na przestępczym rynku zrobiło się nieco luźniej - co wykorzystali autorzy Downad.a.
Botnet na razie nie jest aktywny - nie wiadomo więc, do czego będzie wykorzystywany (prawdopodobnie będzie to wysyłanie spamu i ataki DDoS). Specjaliści ds. bezpieczeństwa starają się identyfikować adresy IP zarażonych komputerów i przesyłają alerty do odpowiednich dostawców usług internetowych (dzięki temu firma może poinformować swojego klienta o tym, że jego komputer jest zainfekowany i że powinien przeprowadzić skanowanie antywirusowe). Ale na razie to syzyfowa praca - liczba maszyn zarażonych robakiem rośnie zbyt szybko.
Najlepszym sposobem zabezpieczenia się przed atakiem robaka jest zainstalowanie poprawki na lukę w Windows Server, udostępnionej przez Microsoft. Uaktualnienie opisane jest w biuletynie MS08-067 dostępnym na stronie koncernu (umieszczono tam także plik do pobrania). Alternatywną metodą zabezpieczenia komputera jest skorzystanie z mechanizmu Microsoft Update.
Szczególnie niepokojące jest to, że robak wykorzystuje lukę, która już kilka tygodni temu została załatana przez Microsoft (poprawka została udostępniona poza zwyczajowym cyklem uaktualnień - opublikowano ją 23 października, po wykryciu pierwszych ataków z wykorzystaniem błędu). Downad.a korzysta z błędu w zabezpieczeniach usługi Windows Server (domyślnie zainstalowanej i uaktywnionej w Windows - jej zadaniem jest zapewnienie połączeń z innymi komputerami czy drukarkami w sieci).
Choć pierwsze przypadki wykorzystania tej luki do atakowania komputerów zaobserwowano w południowej Azji, to teraz infekowane są już komputery z całego świata - na przygotowanej przez Trend Micro mapie nowego botnetu znalazły się m.in. komputery z USA, Chin, Indii, Bliskiego Wschodu, Europy oraz Ameryki Południowej. Pierwsze kopie "szkodnika" wykryto już na początku minionego tygodnia (wtedy po raz pierwszy ostrzegał przed nim Microsoft), jednak wtedy nie był on szczególnie aktywny - masowe infekcje zaczęły się dopiero przed samym weekendem.
Co ciekawe, eksperci z Trend Micro twierdzą, że nowy botnet jest dziełem zupełnie nowej grupy przestępczej, która najwyraźniej korzysta z tego, że w ostatnich tygodniach specjaliści ds. bezpieczeństwa zdołali usunąć z Internetu kilka znanych od dawna i wyjątkowo aktywnych botnetów - m.in. "Srizbi" oraz "Rustock". Dzięki tym działaniom na przestępczym rynku zrobiło się nieco luźniej - co wykorzystali autorzy Downad.a.
Botnet na razie nie jest aktywny - nie wiadomo więc, do czego będzie wykorzystywany (prawdopodobnie będzie to wysyłanie spamu i ataki DDoS). Specjaliści ds. bezpieczeństwa starają się identyfikować adresy IP zarażonych komputerów i przesyłają alerty do odpowiednich dostawców usług internetowych (dzięki temu firma może poinformować swojego klienta o tym, że jego komputer jest zainfekowany i że powinien przeprowadzić skanowanie antywirusowe). Ale na razie to syzyfowa praca - liczba maszyn zarażonych robakiem rośnie zbyt szybko.
Najlepszym sposobem zabezpieczenia się przed atakiem robaka jest zainstalowanie poprawki na lukę w Windows Server, udostępnionej przez Microsoft. Uaktualnienie opisane jest w biuletynie MS08-067 dostępnym na stronie koncernu (umieszczono tam także plik do pobrania). Alternatywną metodą zabezpieczenia komputera jest skorzystanie z mechanizmu Microsoft Update.
Komentarze (4)
- tad
- 2008-12-03 11:18:27
czyli autorzy botnetu kosztem złodziei systemu operacyjnego będą szkodzić pozostałym, bo spam i DDoS nie zależą od systemu. Jak widać mimo to, ludzie wolą używać kradzionego niż darmowe, bo zwykle jest to im potrzebne do efektywnej pracy a nie napawania się własnościami systemu, oto rzeczywistość.
- .
- 2008-12-03 15:06:19
Również MicroShit dał tutaj ciała, gdyby mu zależało na dobru wszystkich udostępniał by te łatki nawet kradzionym systemom.
- ~gość
- 2008-12-03 18:37:21
.: nie wiem, co to za brednie wypisujesz, bo Microsoft nigdy nie blokował i nie blokuje aktualizacji zabezpieczeń pirackim Windowsom.
- funf
- 2008-12-05 17:26:36
blokuje blokuje, jak system nie przejdzie sprawdzania legalnosci to nie mozna zainstalowac czesci aktualizacji odpowiedzialnych za bezpieczenstwo systemu. Co do botnetu, sprawdzic z jakim serwerem (przewaznie jest do IRC) laczy sie dany komputer (zombie) i zablokowacdany serwer albo wyciąć na łączach mozliwosc laczenia sie z tym. A nie dzwonic do wszystkich z osobna i mowic im ze maja wirusa, heh :) Pozdrawiam.
reklama
Popularne produkty
MĘŻCZYŹNI WOLĄ KRĄGŁOŚCI
MĘŻCZYŹNI WOLĄ KRĄGŁOŚCI
w 36
sklepach od 24,79 zł
MĘŻCZYŹNI WOLĄ KRĄGŁOŚCI
Konsola SONY Playstation 3 Slim 320GB
Konsola SONY Playstation 3 Slim 320GB
w 66
sklepach od 22,70 zł
Konsola SONY Playstation 3 Slim 320GB
Pobierz bezpłatnego e-booka 
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
Rekomendacje
Program miesiąca
reklama