En PC & Nätverksteknikers tankar

Med 13 procent av den totalt virusaktiviteten så toppade Netsky i listan över mest spridda virus i augusti månad. Masken Zotob, och andra varianter som utnyttjat samma lucka, nådde aldrig upp i ens en procent av virusaktiviteten. Det visar säkerhetsföretaget Fortinets augustirapport.

Att viruset ändå fick relativt stort utrymme i media beror enligt Fortinet delvis på att masken snabbt slog till mot nyhetsbyråer och tidningar så som CNN, ABC och New York Times.

- Zotob spreds över snabbare i nyheterna än över Internet, säger Guillaume Lovet Fortinet.

Samtidigt så skriver Fortinet i rapporten att det går att se en tendens i hur virusmakarnas motiv förändras. MsBlaster nöjde sig med att sprida budskapet ?Bill Gates, sluta tjäna pengar och fixa dina program?. Efterföljande Sassers skapare angav att anledningen var att han ville skapa lite arbete för sin mor som arbetade på en datasäkerhetsfirma. Den senaste masken Zotob skapades av ett syfte, att tjäna pengar.

Fortinet listar följande hot som de mest spridda i augusti. Siffrorna i procent anger hur stor andel de hade i den totala virusaktiviteten.

1 W32/Netsky.P-mm 13%
2 W32/MyTob.EK-mm 3%
3 W32/Zafi.B-mm 3%
4 W32/Zafi.D-mm 3%
5 HTML/Ebay-phish 2%
6 W32/MyTob.fam-mm 2%
7 Possible_MyTob.G 2%
8 Possible_Netsky.P 2%
9 W32/Mitglieder.CD.gen-tr 2%
10 Adware/180Solutions 2 %

Enligt amerikansk federal polis var det den 21-årige turkiske medborgaren Atilla Ekici som släppte ut masken på Internet. Han gav också marockanen Farid Essebar, 18, betalt för att skriva koden till masken. De är dessutom misstänkta för minst två liknande attacker som utfördes innan Zotob.

De två kunde gripas efter ett lyckat samarbete mellan Microsoft och amerikansk polis, som i sin tur informerade turkiska och marockanska myndigheter.

Enligt källor i de bägge länderna riskerar de gripna relativt lindriga straff om de fälls. Det är osäkert om fängelsestraff ens finns på straffskalan, och i Marocko är datorrelaterade brott egentligen inte ens något brott. Däremot kan de bli dyrt för dem om de väljer att semestra i USA inom de närmaste tjugo åren. Zotob tros ha orsakat skador för hundratals miljoner kronor.

I en undersökning utför på antivirusföretaget Sophos webbplats anser 20 procent av de utfrågade att det är systemadministratörens fel att maskar och virus, som till exempel Zotob-masken som befaras ha smittat 250 000 datorer redan, drabbar ett företag.

Enligt dessa 20 procent ska systemen uppdateras snarast möjligt för att förhindra den här typen av virusutbrott med systemstillestånd till följd. Av de 1 000 utfrågade anser dock 35 procent att det är Microsofts fel då företaget har släpper produkter med säkerhetsluckor som äventyrar användarnas säkerhet.

De flesta anser dock att det är maskarnas upphovsmakare som får ta skulden för problemen. Dock är det endast 45 procent som har den åsikten. Enligt Sophos finns det nu 17 olika maskar som utnyttjar plug and play-luckan i Windows. Men genom att besöka Microsoft Update och uppdatera operativsystemet slipper man de flesta risker och säkerhetshål.

Jag har tidigare berättat om masken ZoTob, som utnyttjar en sårbarhet i plug-and-play-funktionaliteten i Windows. Antivirusföretagen McAfee och F-Secure har nu upptäckt en ny mask som utnyttjar samma lucka. De som inte installerat säkerhetsuppdateringarna från Microsoft kan leva farligt.

Masken, som av F-Secure döpts till IRCBot.es, och McAfee kallar den W32/IRCbot.worm!MS05-039, skapar en IRC-bot, ett slags program som används till IRC (Internet Relay Chat), och möjliggör därigenom fjärrstyrning. IRC-boten öppnar upp en bakdörr till systemet på porten 18067 och kan också försöka sprida sig till andra datorer. Bakdörren kopieras till %SYSTEM% katalogen i Windows med namnet mousebm.exe och beskriver sig själv som att tjänsten "Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability".

När bakdörren nyttjas så ansluter den till antingen esxt.is-a-fag.net eller esxt.legi0n.net, där den går in i kanalen #2p med ett förbestämt löseord. Väl där så går det sedan att fjärrstyra de anslutna datorerna och få dem att göra en rad otyg så som att ladda ned och köra infekterade filer, dela ut filer från hårddisken och delta i olika typer av överbelastningsattacker.

För att skydda dig mot denna typ av attacker bör du besöka MS05-039.

Zotob, en ny nätverksmask som använder sig av en fem dagar gammal MS05-39 Plug-and Play sårbarhet har påträffats. Masken attackerar system som inte uppdaterats genom att söka på port 445 och ladda ner virusfiler via ftp.