Το Εργαστήριο Καταπολέμησης Ιών της Panda Software (PandaLabs) ανέφερε επιθέσεις από δύο νέα worms, τα Zotob.D και IRCBot.KB, τα οποία εκμεταλλεύονται ένα πρόβλημα ασφάλειας της υπηρεσίας Plug and Play (PnP) των Windows, το οποίο δημοσίευσε πρόσφατα η Microsoft στο Δελτίο Ασφάλειας MS05-039. Αυτό το πρόβλημα ασφάλειας δίνει σε έναν εισβολέα τη δυνατότητα να αναλάβει εξ αποστάσεως τον έλεγχο ενός συστήματος.
Για να εκμεταλλευτούν αυτό το πρόβλημα ασφάλειας, τα δύο νέα worms παράγουν τυχαίες διευθύνσεις IP στις οποίες επιχειρούν να συνδεθούν μέσω της θύρας επικοινωνίας 445, ψάχνοντας για ευάλωτα συστήματα. Εάν βρουν ένα τέτοιο σύστημα, στέλνουν οδηγίες για τη μεταφορά ενός αντιγράφου του worm μέσω TFTP (μία απλοποιημένη έκδοση του γνωστού πρωτοκόλλου μεταφοράς αρχείων FTP). Αμφότερα εγκαθίστανται στα συστήματα, τροποποιούν ένα κλειδί του registry για να διασφαλίσουν ότι θα εκτελούνται κάθε φορά που εκκινεί το σύστημα και δημιουργούν μία «πίσω πόρτα» (backdoor) η οποία είναι προσβάσιμη μέσω του IRC. Κατόπιν αναμένουν εντολές από ένα συγκεκριμένο κανάλι του IRC, δίνοντας σε έναν απομακρυσμένο εισβολέα τη δυνατότητα να αναλάβει εξ αποστάσεως τον έλεγχο του συστήματος. Εξαπλώνονται μόνο σε υπολογιστές με λειτουργικά συστήματα Windows 2000, XP και Windows Server 2003.
Επιπρόσθετα, το Zotob.D ψάχνει στα επηρεαζόμενα συστήματα για τα δημοφιλέστερα προγράμματα adware και διαγράφει τα αρχεία και τους φακέλους τους. Η άμεσα εμφανής επίδραση αυτών των worms είναι ο συνεχής τερματισμός λειτουργίας και η επανεκκίνηση των επηρεαζόμενων συστημάτων, γεγονός που τα καθιστά ιδιαίτερα επικίνδυνα για εταιρικά περιβάλλοντα.
Η Panda Software συνιστά στους χρήστες να μεταφέρουν και να εγκαταστήσουν τη διόρθωση που κυκλοφόρησε η Microsoft λίγες ημέρες πριν, η οποία είναι διαθέσιμη από την ιστοσελίδα: http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx
Για να βοηθήσει όσο το δυνατόν περισσότερους χρήστες να ελέγξουν και να απολυμάνουν τα συστήματά τους, η Panda Software παρέχει τη δωρεάν, online λύση καταπολέμησης εχθρικού λογισμικού Panda ActiveScan. Το Panda ActiveScan, το οποίο εντοπίζει επίσης spyware, είναι διαθέσιμο από τη διεύθυνση http://www.activescan.com.
|