Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Maanantai, 15.8.2005

Zotob-verkkomato saastuttaa Windows-järjestelmiä

Internetissä leviää Zotob-nimen saanut verkkomato, joka hyödyntää Windowsin Plug and Play -palvelun puskuriylivuotohaavoittuvuutta. Microsoft julkaisi haavoittuvuuteen korjauspäivityksen 9. elokuuta, mutta aktiivisesti leviävä mato löytää varmasti verkosta tietokoneita, joihin päivityksiä ei vielä ole asennettu.

Zotob asentaa saastuttamiinsa tietojärjestelmiin takaoven, jonka kautta hyökkääjä voi suorittaa haluamiaan komentoja tietojärjestelmässä. F-Securen arvion mukaan Zotob ei tule leviämään yhtä laajalti kuin Sasser, sillä se ei ensinnäkään kykene saastumaan SP2-korjauspäivityksellä varustettuja Windows XP -järjestelmiä. Myös palomuuri ja liikenteen estäminen TCP-porttiin 445 riittää madolta suojautumiseen.

Lue juttu oma, 15.8.2005 00:02. Lähde: F-Secure

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 10 uutta / 10 )
pistettä.
Näytä vain kommentit joilla on vähintään
Saltsa Outoa
Saltsa, 15.8.2005 05:52:13		 Pisteet: 0
Eli taas sama juttu, päivitys ollut monta kuukautta saatavilla (SP2). Ilmeisesti tuo 9.8 -päivitys, josta uutisessa puhutaan, on sitten koneille ilman sp2:sta?
Chipmonk Re: Outoa
Chipmonk, 15.8.2005 07:50:03		 Pisteet: 0
Eli taas sama juttu, päivitys ollut monta kuukautta saatavilla (SP2). Ilmeisesti tuo 9.8 -päivitys, josta uutisessa puhutaan, on sitten koneille ilman sp2:sta?
Ei, kyllä se 9.8. päivitys oli SP2:sen patchi. Eli luultavasti paikkaamattomia koneita löytyy ihan kiittettävän suuria määriä :)
-All the world is a stage-
Karitku Re: Outoa
Karitku, 15.8.2005 11:21:35		 Pisteet: +1
Ei, kyllä se 9.8. päivitys oli SP2:sen patchi. Eli luultavasti paikkaamattomia koneita löytyy ihan kiittettävän suuria määriä :)
Totta, SP2 kuuluu listalle, mutta! SP1 ja SP2:sen ero on siinä ettei SP2:ssa normaalit user accountit ole haavoittuvaisia, vain admin oikeudet omaavat ovat vaarassa. Patchi siis korjaa sen ettei mato pääsisi eteenpäin kummassakaan. Ja kun tarkemmin lukee niin madon täytyy lisäksi pystyä kirjautumaan järjestelmään, eli jos oikein ymmärrän tietämään käyttäjätunnus ja salasana parin. Eli uhka olisi minimaalinen, lisäksi 445 portti on ollut ennenkin hyökkäyksen alla joten se tulisi olla kiinni. Korjatkaa ihmeessä jos meni ihan mönkään.
Voitku
weicco Re: Outoa
weicco, 15.8.2005 12:15:55		 Pisteet: 0
kenu Re: Outoa
kenu, 17.8.2005 04:14:49		 Pisteet: 0
Näin näkyy tosiaan olevan, vain Windows 2000:sta kannattaa olla huolissaan:
http://mikropc.net/uutiset/index.jsp?categoryId=at...

Nyt on sitten saatu .E-versiokin Zotobista:
http://securityresponse.symantec.com/avcenter/venc...
Re: Outoa
vertti-, 15.8.2005 08:14:59		 Pisteet: 0
Eli taas sama juttu, päivitys ollut monta kuukautta saatavilla (SP2). Ilmeisesti tuo 9.8 -päivitys, josta uutisessa puhutaan, on sitten koneille ilman sp2:sta?
Ei, kyllä se 9.8. päivitys oli SP2:sen patchi. Eli luultavasti paikkaamattomia koneita löytyy ihan kiittettävän suuria määriä :)
Jos nyt viitsit edes tuon MS bulletinin lukea niin havaitset ettei XP SP2 ole affected systems listassa.
Re: Outoa
vertti-, 15.8.2005 08:16:13		 Pisteet: 0

Ja juodaan se aamukahvi ennen ekaa postia. Kyllä se sp2 tarttee paikkauksen kanssa.
Re: Outoa
ollim, 15.8.2005 08:27:16		 Pisteet: 0
Ja juodaan se aamukahvi ennen ekaa postia. Kyllä se sp2 tarttee paikkauksen kanssa.
Kyllä ne aamukahvit saa ihan rauhassa juoda, mutta tämä mato EI toimi XP SP2:ssa tai Server 2003:ssa. Syy on tällainen:

"Windows XP SP2 and Windows 2003 can not be exploited by this worm, as the worm does not use a valid logon"

kertoo SANS Institute.

Viimeviikkoset korjaukset kannattaa kyllä asentaa, vaikka tämä mato ei sitä edellytäkään. Seuraava senkin varmaan tekee. Korjaus MS05-039 todellakin pitää asentaa XP SP2:een ja Server 2003:een. Joskin palomuuri kannattaa virittää ensin kuntoon.
kenu Re: Outoa
kenu, 15.8.2005 21:24:55		 Pisteet: 0
"Windows XP SP2 and Windows 2003 can not be exploited by this worm, as the worm does not use a valid logon" kertoo SANS Institute.
Totta, ja faktan lähde on täällä, noin sivun puolivälissä:
http://isc.sans.org/diary.php?date=2005-08-14
HN Re: Outoa
HN, 15.8.2005 08:09:10		 Pisteet: 0
Eli taas sama juttu, päivitys ollut monta kuukautta saatavilla (SP2). Ilmeisesti tuo 9.8 -päivitys, josta uutisessa puhutaan, on sitten koneille ilman sp2:sta?
Tossa on nyt vähän ristiriitaa:

"This is nasty, as patches for this vulnerability have only been available for five days. Patch now." -F-Secure

ja

"However, Zotob is not going to become another Sasser. First of all, it will not infect Windows XP SP2 machines." -F-Secure

Eli jos toi patchi oli SP2 XP:lle ni täh??