Kort tid etter at detaljene om alvorlige sårbarheter i populær programvare har blitt kjent, kan man regne med at det vil dukke opp skadevare som utnytter sårbarhetene. Årsaken er at mange er trege med å installere sikkerhetsoppdateringene som blir utgitt.
Dette er også tilfellet for en sårbarhet Microsoft fjernet i Windows for over en måned siden.
Denne sårbarheten ble faktisk utnyttet før Microsoft hadde en sikkerhetsfiks klar, til tross for at sikkerhetsfiksen ble gjort tilgjengelig ved en ekstraordinær utgivelse i stedet for på den vanlige sikkerhetstirsdagen hver måned.
Nå har det kommet en ny bølge med skadevare som utnytter sårbarheten, som det fortsatt er mange som ikke har fått fjernet. Microsoft melder spesielt om en orm selskapet kaller Worm:Win32/Conficker.A.
Spredningstakten til ormen skal ha økt, spesielt i starten av denne uken.
Ifølge et blogginnlegg skrevet av Ziv Mador i Microsoft, skal ormen i særlig grad spres innen bedrifter, selv om selskapet også har fått rapporter fra flere hundre hjemmebrukere.
Ormen åpner en vilkårlig port mellom mellom port 1024 og 10.000 og opptrer som en webserver. Den spres over nettet ved å utnytte den omtalte sårbarheten, som åpner for kjøring av vilkårlig kode.
Så snart en sårbarhet på en maskin har blitt utnyttet, vil denne maskinen laste ned en kopi av ormen via den vilkårlige porten som ormen har åpnet. Filen som kopieres over har filnavnendelsen «.JPG», men døpes om til en vilkårlig navngitt DLL-fil når den lagres i systemmappen på systemet.
Ifølge Mador fjerner ormen dessuten det sårbarheten i programmeringsgrensesnittet i minnet, slik at maskinen ikke lenger er sårbar. Det antas at dette gjøres for at ikke andre også skal kunne ta over maskinen.
De fleste rapportene om infiserte maskiner stammer fra USA, men det er også registrert tilfeller i Europa, Asis og Sør-Amerika. Ormen unngår derimot å smitte ukrainske maskiner.
Windows-brukere kan unngå å få maskinen sin smittet ved å installere sikkerhetsoppdateringen som er omtalt her. Microsoft oppfordrer brukerne sterkt til å gjøre dette.
Oppdateringen gjøres enklest via Windows Update-tjenesten. Det vil også hjelpe aktivere brannmuren i Windows.
Det er ikke oppgitt hvilken skade ormen kan gjøre, men den er satt opp til å laste ned nye filer ved flere tidspunkter framover. Disse kan sette i gang ny aktivitet.
Les også:
- [16.03.2009] Slik unngår du Conficker
- [10.03.2009] Advarer mot hissig Conficker-mutant
- [13.02.2009] Million-dusør i kampen mot «Conficker»
- [02.02.2009] Fylke oppretter nødblogg
- [20.01.2009] - Conficker har smittet ni millioner
- [20.01.2009] Ble angrepet tross feilfiks fra Microsoft
- [16.01.2009] Løpsk Windows-orm kan bli botnet
- [14.01.2009] Angriper gammel Windows-sårbarhet
- [24.10.2008] Windows-sårbarhet allerede under angrep
