Poistaminen

Ensimmäinen RPC-turvareikää hyödyntävä verkkomato liikkeellä

Asiantuntijat ennustavat sen leviävän hyvin laajalti
Helsinki, Finland - 12.8.2003


F-Secure varoittaa uudesta RPC-turvareikää hyödyntävästä madosta, joka tunnetaan nimillä Lovsan, Blaster tai Msblast. Mato leviää Windows-työasemien ja -palvelimien kautta MSBLAST.EXE -nimisenä tiedostona. Mato sisältää tuhorutiinin joka hyökkää windowsupdate.com -palvelua vastaan elokuun 16.päivänä 2003.

"Tietoturva-alalla on pelätty tällaista matoa siitä lähtien kun RPC/DOM -tietoturvareikä havaittiin 16.7.2003", kommentoi F-Securen virustentorjuntayksikön tutkimusjohtaja Mikko Hyppönen. "Nyt se on täällä", hän jatkaa.

F-Securen virustentorjuntayksikkö sai ensimmäisen näytteen Lovsan-madosta maanantaina 11.8.2003 kello 22.22 Suomen aikaa. Mato leviää 6176-tavun suuruisena MSBLAST.EXE -nimisenä tiedostona Windows 2000 ja Windows XP -käyttöjärjestelmissä ellei käyttöjärjestelmän turvapäivityksiä ole asennettu.

Mato etsii internetistä suojaamattomia koneita ja tartuttaa ne verkon yli. Mato jatkaa leviämistä jokaisesta saastuttamastaan koneesta. Tartunta tapahtuu niin, että koneen käyttäjä ei huomaa mitään tavallisuudesta poikkeavaa.

Lovesan-madon sisällä on seuraava piilotettu viesti:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

"Madolla näyttää olevan selvä hyökkäysrutiini", kommentoi Mikko Hyppönen. Lauantaina 16.8. mato aloittaa hajautetun palvelunestohyökkäyksen windowsupdate.com -palvelua vastaan. "Jos mato jatkaa nopeaa leviämistään, hyökkäys saattaa kaataa koko palvelun", Hyppönen jatkaa.

KYSYMYKSIÄ JA VASTAUKSIA LOVSAN-MADOSTA:

Kysymys: Millä muilla nimillä Lovsan tunnetaan?
Vastaus: Ainakin Msblast, Blaster, Poza, Posa ja Lovesan.

Kysymys: Mitä erikoista Lovean-madossa on?
Vastaus: Lovesan-mato leviää hyödyntäen MS03-026 DCOM/RPC –tietoturvareikää, joka on yksi maailman yleisimmistä tietoturvarei’istä tällä hetkellä.

Kysymys: Milloin mato löydettiin?
Vastaus: F-Securen virustentorjuntayksikkö sai ensimmäisen näytteen 11.8. kello 22:22 Suomen aikaa.

Kysymys: Kuinka mato leviää?
Vastaus: Jos suojaamaton kone kytketään internettiin, mato pääsee sisään TCP 135 –portista ja saastuttaa koneen turvareiän kautta. Käyttäjä ei huomaa saastumista.

Kysymys: Mitkä käyttöjärjestelmät ovat haavoittuvaisia?
Vastaus: Ainakin Windows 2000 ja Windows XP -käyttöjärjestelmät. Windows NT 4 ja Windows 2003 –järjestelmissä on sama turvareikä, mutta madon tämänhetkinen versio ei leviä niihin

Kysymys: Onko Microsoftilla olemassa tietoturvapäivitys?
Vastaus: Kyllä, se on ladattavissa osoitteesta: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

(Tämä täsmennys on Poistamisesta nimimerkin lisäämä, PÄIVITYS LÖYTYY WINDOWS UPDATESTA ja sen tärkeän päivityksen numero numero on 823980 ja tuo on ollut saatavilla jo 16.7.2003 alkaen!!!)

Kysymys: Kuinka laajasti mato voi levitä?
Vastaus: RPC-reikä voi löytyä jopa kymmenistä miljoonista tietokoneista. Vertailun vuoksi; Slammer-madolla oli mahdollisuus saastuttaa noin 100.000 SQL-serveriä ja Code Red –madolla noin 2 miljoonaa IIS wwww-palvelinta. Toisaalta palomuurit osittain suojaavat työasemia RPC-yhteyksiltä. Kysymys: Voiko mato levitä yrityksen sisäverkkoon, palomuurin taakse?
Vastaus: Kyllä, monella eri tavalla. Palomuuriasetuksissa saattaa olla vajavaisuuksia tai käyttäjät ottavat suojaamattomia yhteyksiä modeemin tai WLAN-verkon välityksellä. Lisäksi käyttäjä saattaa tuoda yritykseen saastuneen kannettavan tietokoneen ja kytkeä sen sisäverkkoon, jossa mato leviää kulovalkean tavoin. Kysymys: Tuleeko ko. madosta uusia versioita lähiaikoina?
Vastaus: Kyllä, todennäköisesti tulee.

Kysymys: Millaisia sähköpostiviestejä mato lähettää?
Vastaus: Ei minkäänlaisia. Lovsan ei ole sähköpostimato eikä siis koskaan lähetä viestejä.

Kysymys: Onko tämä hypernopea ns. Warhol-mato?
Vastaus: Ei, tämä mato ei käytä hitlist-tekniikkaa eikä se leviä yhtä nopeasti kuin UDP-pohjainen Slammer-mato helmikuussa 2003.

Kysymys: Vahingoittaako mato saastuttamaansa konetta?
Vastaus: Ei, mutta mato yrittää käyttää saastuneita koneita kaatamaan windowsupdate.com –palvelun 16.8. alkaen.

Kysymys: Mistä maasta mato on kotoisin?
Vastaus: Emme tiedä.

Viruskuvaus ja kuva madon koodista löytyy osoitteesta: http://www.f-secure.com/v-descs/msblast.shtml

F-Secure Anti-Virus löytää ja pysäyttää madon. Päivitykset ovat ladattavissa www-sivuiltamme: http://www.f-secure.com

Tuo ylläoleva teksti on kopsattu F-securen sivulta:http://www.f-secure.fi/news/2001/news_2003081200s.shtml

Saisiko tuon saman suomeksi?! Eli miten siis käytännössä poistan tuon koneeltani? Mikä on ja mistä löytyy rekisterieditori (koneessani on kielenä englanti). Apua...