Tietoturva nyt!

3.1.2009

Verkkomato havaittu Suomessa

Windows-käyttöjärjestelmissä leviävästä verkkomadosta useita havaintoja

Viikon aikana CERT-FI:lle on raportoitu useista tapauksista, joissa yrityksen tai yhteisön sisäverkossa on havaittu verkkomato. Oireet ovat kaikissa tapauksissa olleet samoja; Windows-työasemat hidastuvat, domain-tunnuksia menee yllättäen lukkoon ja verkkoliikenne käyttäjätunnuksia hallinnoivalle Domain Controller:lle kasvaa huomattavasti.
Saastuttaessaan työaseman, verkkomato piiloutuu satunnaisen tiedostonimen taakse. Verkkomato myös käynnistää työasemalla aidolta kuulostavan palvelun pysyäkseen hengissä työaseman uudelleenkäynnistyksen yhteydessä.
CERT-FI ei ole saanut asiaan vahvistusta, mutta verkkomadon käyttäytyminen viittaa vahvasti siihen, että madon leviämistapa perustuu Microsoftin MS08-067 haavoittuvuuteen. Kerroimme kyseisestä haavoittuvuudesta sekä olemassa olevasta korjauksesta Tietoturva nyt! -artikkelissamme ja julkaisimme asiasta myös varoituksen.
CERT-FI suosittelee asentamaan MS08-067 korjauksen ensi tilassa sekä pitämään virustorjunnan ajan tasalla.

Lisätietoa

Sivua päivitetty 03.01.2009

Tulostusversio

Tuoreimmat kirjoitukset:

Tänään vietetään Tietoturvapäivää yli 60 maassa
7.2.2012
DNSChanger -haittaohjelman poistamisesta
7.2.2012
CERT-FI vuosikatsaus 2011
31.1.2012
Verkon käyttäjiä tahtomattaan palvelunestohyökkäyksissä
27.1.2012
Testaa, onko koneessasi DNSChanger-haittaohjelma
19.1.2012
Keskusrikospoliisi tutkii tietomurtoja
13.1.2012
CERT-FI:n ohjetta verkkopalvelun ohjelmistoalustan valinnasta ja palvelun turvallisesta ylläpidosta päivitetty
13.1.2012
Suomalaiset tekijänoikeusjärjestöt palvelunestohyökkäyksen kohteena
12.1.2012
Suomalaisten automaatiojärjestelmien osoitteita julkaistu verkossa
12.1.2012
Langattomien verkkojen suojauksessa käytetty WPS-tekniikka murtuu helposti
4.1.2012