Angriper gammel Windows-sårbarhet

Conficker-ormen muterer og sikkerhetseksperter advarer mot ny angrepsbølge.

14. jan. 2009 - 14:23

Det finnes en god del privatbrukere og bedriftsnettverk som sjelden eller aldri oppdaterer programvare med anbefalte feilfikser. Samtidig er det kjent at skadevare kan dukke opp kort tid etter slike sikkerhetsoppdateringer gis ut.

«Conficker» er navnet på en hel familie av slik ondsinnet kode, som utnytter det som i praksis er et gammelt hull i Windows.

Den samme ormen er også kjent under navnet «Downadup».

    Les også:

Dette viruset sprer seg stadig blant brukere som ikke har installert en sikkerhetsoppdatering, som Microsoft publiserte allerede i oktober 2008.

Sikkerhetseksperter advarer nå mot varianter av denne ormen, som særlig sprer seg til andre datamaskiner via spesielt utformede fjernkall (Remote Procedure Calls - RPC).

RPC er en protokoll som tillater fjernkjøring av kode på maskiner i et nettverk, i dette tilfellet er det snakk om ondsinnet kode.

Viruset spres også via USB-minnepinner og MP3-spillere når disse kobles til infiserte PC-er, og koden ved enkelte varianter er utformet slik at den kan oppdatere seg selv. Det melder sikkerhetsselskapet Panda Security.

Selskapet opplyser at det er oppdateringene, som hentes ned fra stadig nye IP-adresser, som gjør denne trusselen vanskelig å stoppe. Samtidig finnes varianter som er laget for å laste ned annen skadelig kode til de infiserte maskinene.

- Dette indikerer at bakmennene forbereder seg på et større angrep i nærmeste fremtid. Et angrep som tar i bruk de infiserte maskinene, advarer Panda i en pressemelding.

Sikkerhetsselskapet F-Secure rapporterer at en rekke bedriftsnettverk har blitt smittet siden nyttår.

– Når ormen først har infisert maskinen, beskytter den seg selv aggressivt. Dette gjør den ved å sette seg selv opp til å restarte veldig tidlig i oppstartsprosessen av maskinen. Dermed settes tilgangsrettighetene til filer og registernøkler til å tilhøre ormen slik at brukeren verken kan endre eller fjerne dem, opplyser Dag Arne Jerstad, Norgesansvarlig i F-Secure.

Typiske problemer som kommer som følge av ormen er at brukere blir utestengt fra sine brukerkontoer. Ifølge F-Secure skjer dette fordi ormen forsøker å gjette eller tvinge frem nettverkspassord, slik at arbeidsstasjonen automatisk låser seg på grunn av for mange innloggingsforsøk.

Selskapet anbefaler alle å å holde utstyret oppdatert med de siste sikkerhetsfiksene. Det kan også være lurt å ha et antivirusprodukt med oppdaterte virusdefinisjoner, ha god kvalitet på brukerpassord og skru av automatisk avspilling av innhold på minnepinner.

Dersom uhellet skulle være ute, bør du se videre instrukser for hvordan du fjerner infeksjonen hos en antivirusleverandør.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.