Berta Sándor

Körbefertőzte a világot a Zotob

A támadás érintette a CNN és az ABC News amerikai hírcsatornákat, valamint a New York Times amerikai napilapot is. A CNN az üzemzavarról műsorát megszakítva számolt be.

Egy eddig nem azonosított kártevő vagy a Zotob, illetve annak egyik változata lehet felelős a pusztításért. A szakemberek a múlt héten figyelmeztették a felhasználókat, hogy megjelent a Zotob nevű új vírus amelyik - kihasználva egy biztonsági rést - a Windows 2000 operációs rendszereket futtató számítógépeket támadja. Azt azonban egyelőre sem a Microsoft, sem pedig a McAfee számítástechnikai biztonsági cég nem erősítette meg, hogy a Zotob állhat az újabb támadások mögött.

A Time Warner médiakonszernhez tartozó CNN mellett fennakadások voltak a General Electric, az United Parcel Service (UPS) futárszolgálat és a Caterpillar óriáscégeknél is. A GE szóvivője azonban cáfolta az üzemzavarokat, míg a UPS-nél csak néhány számítógépet érintett a vírustámadás. A Spiegelnek nyilatkozó szakértők szerint azonban egyre valószínűbb, hogy a támadások hátterében a Zotob féreg és különböző változatai (Rbot.cbg, SDBot.bzh és Zobot.d) álltak. Az érintett cégek sorát gyarapítja időközben az Associated Press (AP) hírügynökség, de a vírus hatása érezhető volt a Disney, a Kraft Foods, valamint a DaimlerChrysler rendszereiben is.

"A kártevő nagyobb problémát jelent a hálózatba kötött számítógépekkel rendelkező vállalatoknak, mint az átlagfelhasználóknak." - jelentette ki David Perry, a Trend Micro számítástechnikai biztonsági cég képviselője. A Zotob lemásolja önmagát, de nem pusztítja el az adatokat, "csupán" meggátolja a számítógépek közötti adatforgalmat. Ráadásul a Zotob azért is különösen veszélyes, mert a Microsoft tájékoztatása szerint a felhasználó elvileg észre sem veszi, ha megfertőződik a PC-je. A Zotob iránti gyanút erősíti az a tény is, hogy a CNN-nél a Windows 2000 operációs rendszert futtató számítógépek kergültek meg és indították újra magukat rendszertelen időközönként.

A Zotob a 445-ös TCP-porton keresztül keres megtámadható rendszereket, majd ha talál egyet, feltelepíti rá magát. A megfertőzött számítógépen aztán a vírus egy ftp-szervert "állít üzembe", amelyik a 29463-as porton keresztül figyeli, hogy van-e még megtámadható gép a rendszerben. Mindemellett a kártevő a 6667-es porton keresztül megnyitja a Windows 2000 parancssorát és így a férget útjára indító támadó megszerezheti a teljes ellenőrzést ellenőrzést a megfertőzött PC felett.

A kártevő ellen már jóideje letölthető a Microsoft hivatalos javítása, de a szakemberek szerint már az is segít, ha egy olyan tűzfalat telepítettek a számítógépre, ami blokkolja az érintett portokhoz való hozzáféréseket. Tegnapig az F-Secure összesen kilenc kártevőt fedezett fel, amely kivétel nélkül ugyanazt a sebezhetőséget használja ki. Ezek közé tartoznak az Ircbot, az SDBot, valamint a Bozori család különböző változatai. Tapasztalataik szerint azonban a vírusok nemcsak az operációs rendszer, hanem egymás gyengéit is igyekeznek kihasználni. Mikko Hyppönen, az F-Secure anti-vírus kutatási igazgatója egyenesen háborúról beszélt: "Úgy tűnik, hogy botháborúval állunk szemben. Nyilvánvalóan három vírusíró bandáról van szó, akik riasztó sebességgel jelentetik meg az új vírusokat - mintha azért versengenének, hogy ki birtokolja a fertőzött számítógépekből álló legnagyobb hálózatot."

A Reuters beszámolója szerint az amerikai vállalatok a jelek szerint mostanára felülkeredtek a behatolások okozta felforduláson, és többé-kevésbé helyreállították rendszereiket. Bár csak néhány ezer számítógép fertőződött meg, szakértők arra figyelmeztettek, hogy a vírusírók egyre gyorsabb ütemben bocsájtják ki kártevőiket. "Ezek a srácok igencsak belehúztak... mostanra jóval gyorsabban dolgoznak, és a rendszeradminisztrátorok nem tudják tartani a lépést" - modnta Ero Carrera, az F-Secure kutatója.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • mrzool #40
    És azt figyelted, hogy a kártevő "botzor.exe" néven menti el magát, illetve B-O-T-Z-O-R nevű mutexet hoz létre? Nincs ebben semmi meglepő, az antivírus cégek régóta azt a gyakorlatot követik, hogy ha találnak a malware-ben vmiféle "nyomot", annak megkeverik a betűit, és kész a vírusnév. Lásd pl. Cabir, Zafi, etc...
  • Mice #39
    látom te rád se alkalmazták még a patchet :)) :P
  • Mice #38
    vazze nem csak az adatbázis a lényeg, normális esetben ha fut a tűzfal korrektól az már fél siker

    az meg hogy fut a vírkergető nem jelenti instantly azt h védve is vagy

    egy kicsi szkeptikusság lehetne az ismeretlen fileokkal/feladókkal

    ha min 2-3 szűrős egy rendszer amin keresztül beérkeznek az új dolgok akkor az mese, hogy gyakori a vírfertőzés (max ha belső terjesztésű v rászálltak az adott helyre)

    de a legnagyobb lol-nak mindig azt tartom amikor egy hibát nem úgy használnak ki, hogy nincs rá folt, hanem amikor már k.va hosszú ideje van rá folt...

    "a rendszeradminisztrátorok nem tudják tartani a lépést" ló$$$$t rendszergazda az ilyen...
  • arschsg #37
  • KNORBI #36
    Figyeltétek, hogy a Zotob szó a Toboz összekevert betűi? Lehet, hogy nem is kell messzire menni, ha meg akarnánk találni a szerzőt...
  • strogg #35
    A nyílt forrás nem hibamentességet jelent, hanem egy lehetőséget, hogy méggyorsabban foltozva legyenek a hibák.
    Persze voltak itt is kivételek:) De ha jól tudom alig 2-3 darab, ami 1-2 hónapnál tovább volt foltozatlan.
  • h4x0r #34
    Hogy jon ez ide? Bazmeg, a Linuxban is vannak remote exploitok. De most nem a Linuxrol van szo, de nem is Apple-rol...
  • arschsg #33
    2005.08.18.
    Rengeteg hibát javított ki az Apple

    Az Apple kiadta a legújabb hibajavító csomagját, amely több mint negyven biztonsági sérülékenységet szüntet meg a Mac OS X operációs rendszerében, illetve a különböző szoftvereiben. Az Apple egy olyan biztonsági közleményt adott ki, amelyben arra kéri a felhasználókat, hogy mihamarabb frissítsék a Mac OS X operációs rendszereiket illetve a szoftvereiket.


    A cég által kiadott biztonsági hibajavító csomag ugyanis több mint negyven sebezhetőséget szüntet meg. A frissítések többek között a Mac OS X (Panther és Tiger) operációs rendszerek esetében felfedezett biztonsági réseket is befoltozzák. A szerver operációs rendszerekhez 20, míg a kliens számítógépekhez 15 új javítás tölthető le, közülük néhány egyszerre több sebezhetőséget is megszüntet.



    Az Apple szerint számos sérülékenység puffertúlcsordulási hibára vezethető vissza. Az egyik ilyen például az AppKit-et érinti, és olyan programok esetében okozhat problémát, amelyek Word vagy egyéb szöveges dokumentumokkal végeznek különböző műveleteket. Speciálisan szerkesztett állományok révén ugyanis kártékony kódok is lefuttathatóvá válnak.

    Az Apple javított a Bluetooth kapcsolatok kezelésén, és a Safari böngészőhöz elérhetővé tett egy fontos frissítést. Ez egy olyan hibalehetőséget szüntet meg, amely speciálisan szerkesztett szöveges fájlokban elhelyezett linkek segítségével használható ki.


    http://www.pcworld.hu/story.php?sid=4899

    Ezek szerint máshol is vannak hibák?
  • h4x0r #32
    Eppen ezert irtam meg a tapasztaltat is. Az IT reszleg fonoke biztos nem friss diplomaval kerult oda. De - most az egyszer mondom ezt, mar most is piszkosnak erzem magam emiatt :) - be kellett volna vetnie az MS-nek a hires-hirhedt marketinggepezetet.
    Magyaran: "Ennyi esze lehetett volna. (a rendszergizdanak is)"
  • strogg #31
    A diploma nem a intelligenciát, pláne nem segít legyőzni al ustaságot. ismert hibára volt folt. A min. a meit elvár az ember a szakitól, hogy használja.
    LEet pont a 8 általánossal rendelkező pistike tette fel, mert józan paraszti ésszel már felfogta, hogy nem véletlen adják ki ezeket.

    A CNN-es diplomás balféket meg izomból rúgnám ki egy ilyenért. Nem azért fizeti a cége (nem is rosszul), hogy patchalés helyett pornót nézzen a neten.