Microsoft ostrzega o ataku wykorzystującym znaną lukę Windows
- Józef Muszyński,
- IDG News Service,
- 27.11.2008, godz. 13:13
Firma ostrzegła użytkowników o ryzyku ataków robaka wykorzystującego lukę Windows, która pozwala na skierowanie ataku do sieci. Microsoft zaleca zastosowanie odpowiedniej łatki udostępnionej w październiku.
Microsoft potwierdził otrzymanie od użytkowników raportów o robaku Win32/Conficker.A, który infekuje komputery w sieci wykorzystując lukę w usłudze SVCHOST.exe Windows Server.
Robak, określany przez Microsoft nazwą "Conficker.A", a przez Symantec "Downadup", wykorzystuje lukę w usłudze używanej przez wszystkie wersje systemów operacyjnych do podłączania serwerów plików i druku do sieci. Microsoft załatał te lukę poza rutynowym cyklem uaktualnia w październiku br., po wykryciu niewielkiej liczby maszyn zainfekowanych tym robakiem, głównie w Azji.
Według Microsoft Malware Protection Center, w sieciach korporacyjnych zaczęła się jednak rozprzestrzeniać nowa fala ataków tego robaka, która dotknęła także pewną liczbę użytkowników domowych. Większość raportów o infekcji pochodzi z terenów Stanów Zjednoczonych, ale zespół otrzymał również raporty z innych krajów. Robak nie infekuje natomiast komputerów na Ukrainie, co według specjalistów Malware Protection Center mogłoby wskazywać, że został on stworzony w tym kraju: często bowiem się zdarza się, iż hakerzy oszczędzają komputery w kraju, z którego pochodzą.
Interesujące jest także to, że robak naprawia "nieszczelne" API w pamięci komputera, zamykając w ten sposób lukę w maszynie. Nie jest to oczywiste przejaw troski autora robaka o kondycję komputera, ale zabezpieczenie przed możliwością przejęcia "władzy nad komputerem" przez inny kod złośliwy.
Robak resetuje również punkt restartu systemu w zainfekowanym komputerze, co utrudnia lub wręcz uniemożliwia odtworzenie systemu w postaci przed infekcją.
Celem zidentyfikowanych dotychczas ataków były maszyny Windows Server 2000, 2003 i Windows XP.