Tietoturva nyt!

5.1.2009

Suomessa havaitusta verkkomadosta olemassa eri variantteja

Yksi havaittu variantti kulkee nimellä Worm:Win32/Conficker.B

Saamiemme analyysitulosten perusteella voimme vahvistaa, että Suomessakin esiintyneestä verkkomadosta on olemassa useita eri variantteja. Yksi varianteista kulkee nimellä Worm:Win32/Conficker.B (tunnettu myös nimellä Worm:W32/Downadup.AL). Tämä osaltaan vahvistaa epäillyn siitä, että mato käyttää lähiverkossa leviämiseen hyväksi Microsoftin MS08-067 haavoittuvuutta. Kerroimme haavoittuvuudesta haavoittuvuustiedotteessa 130/2008.

Madon teknisistä kuvauksista käy ilmi, että mato myös levittää itseään arvaamalla pääkäyttäjän tunnussanoja lähiverkkojen levyjaoille. Tämä selittää osaltaan Windows-toimialueen hallintapalvelimelle kasvaneen liikenteen sekä sen, että toimialueen tunnuksia voi mennä lukkoon.

Teknisistä kuvauksista käy lisäksi ilmi, että verkkomato käyttää hyväkseen esimerkiksi tiedostoattribuutteihin liittyviä keinoja itsensä piilottamiseen. Näiden keinojen takia verkkomadon poistaminen voi olla työlästä ja matojen saastuttamien tietokoneiden siivoamiseen käsin tulee suhtautua suurella varauksella. CERT-FI on julkaissut erilliseen ohjeen haittaohjelman saastuttamaksi epäillyn Windows-järjestelmän tutkimista varten.

Lisätietoa

http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B

http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

Analyysituloksia verkkomadon eri varianteista: https://www.virustotal.com/analisis/82ec3f2cddcc75685af9cf63307db928 sekä https://www.virustotal.com/analisis/3c121e3ba643db348641aa3358d897b4

Sivua päivitetty 05.01.2009

Tulostusversio