Usikrede PC-er kartlegges – kan varsle ny internettorm

En analyse av internettrafikken de siste ukene tolkes som et varsel om et mulig stort ormangrep.

Det norske sikkerhetsselskapet System Sikkerhet driver løpende analyser av trafikken på Internett. Siden 22. november har selskapet registrert unormale søk etter UDP-portene 1026 til 1031, og UDP-portene 135 og 137. Grafen nedenfor oppsummerer dette:

En pressemelding skriver selskapet at aktiviteten er hittil bare registrert mot enkelte IP-adresseområder. Den har fellestrekk med tidligere observert aktivitet i forkant av kjente internettormer. Det kan derfor tolkes som et varsel om at en ny aggressiv internettorm kan være under uttesting. Så langt viser aktiviteten at testingen ikke er forbundet med noen effektiv spredningsalgoritme. Søkene kommer fra hjemmebrukere i et stort antall land.

Valget av UDP-porter tyder på at det kan dreie seg om forsøk på å kartlegge PC-er under Windows XP, 2000 og NT som ikke har oppdatert seg med fiksene til henholdsvis Windows Messenger-tjenesten (publisert 15. oktober, oppdatert 14. november, se Buffer Overrun in Messenger Service) og Workstation-tjenesten (publisert 11. november og oppdatert 19. november, se Buffer Overrun in the Workstation Service).

Begge disse sårbarhetene egner seg for å utnyttes av hurtigspredende ormer. Microsoft klassifiserer begge som kritisk. Messenger-tjenesten utnyttes ikke av verken MSN Messenger eller andre lynmeldere, og er en eldre form for nettverkstjeneste som av en eller annen grunn er påslått også i standardinstallasjoner av nye Windows-versjoner, selv om den sjelden utnyttes til noe nyttig. I begynnelsen av november gikk det ut en allmenn varsel om at den burde slås av.

    Les også:

Abonnenter på Windows Update vil være beskyttet. System Sikkerhet anbefaler å blokkere de aktuelle portene i brannmur, og å installere Microsofts anbefalte oppdateringer. Selskapet advarer at spesielt hjemme-PC-er er utsatt for å utnyttes av nye ormer, siden de sjelden oppdateres fortløpende.

Til toppen