Nowy robak buduje wielki botnet

W Sieci pojawił się nowy robak, infekujący komputery z Windows przez lukę w usługach Windows Server. "Szkodnik" przekształca zainfekowane maszyny w element botnetu - ich liczba szybko rośnie, mimo, iż Microsoft już miesiąc temu udostępnił poprawkę usuwającą błąd wykorzystywany przez robaka.

O wykryciu nowego zagrożenia poinformowali specjaliści z firmy Trend Micro - z ich analiz wynika, że liczba komputerów zainfekowanych przez robaka przekroczyła już 500 tys. Firma nazwała program "Downad.a" (Microsoft używa określenia "Conficker.a", zaś Symantec - "Downadup"). "Liczba zarażonych maszyn szybko rośnie. Na razie nowy botnet nie może jeszcze mierzyć się - pod względem liczby zainfekowanych komputerów - z Krakenem czy Stormem, ale tempo jego wzrostu jest bardzo szybkie" - mówi przedstawiciel Trend Micro.

Szczególnie niepokojące jest to, że robak wykorzystuje lukę, która już kilka tygodni temu została załatana przez Microsoft (poprawka została udostępniona poza zwyczajowym cyklem uaktualnień - opublikowano ją 23 października, po wykryciu pierwszych ataków z wykorzystaniem błędu). Downad.a korzysta z błędu w zabezpieczeniach usługi Windows Server (domyślnie zainstalowanej i uaktywnionej w Windows - jej zadaniem jest zapewnienie połączeń z innymi komputerami czy drukarkami w sieci).

Choć pierwsze przypadki wykorzystania tej luki do atakowania komputerów zaobserwowano w południowej Azji, to teraz infekowane są już komputery z całego świata - na przygotowanej przez Trend Micro mapie nowego botnetu znalazły się m.in. komputery z USA, Chin, Indii, Bliskiego Wschodu, Europy oraz Ameryki Południowej. Pierwsze kopie "szkodnika" wykryto już na początku minionego tygodnia (wtedy po raz pierwszy ostrzegał przed nim Microsoft), jednak wtedy nie był on szczególnie aktywny - masowe infekcje zaczęły się dopiero przed samym weekendem.

Co ciekawe, eksperci z Trend Micro twierdzą, że nowy botnet jest dziełem zupełnie nowej grupy przestępczej, która najwyraźniej korzysta z tego, że w ostatnich tygodniach specjaliści ds. bezpieczeństwa zdołali usunąć z Internetu kilka znanych od dawna i wyjątkowo aktywnych botnetów - m.in. "Srizbi" oraz "Rustock". Dzięki tym działaniom na przestępczym rynku zrobiło się nieco luźniej - co wykorzystali autorzy Downad.a.

Botnet na razie nie jest aktywny - nie wiadomo więc, do czego będzie wykorzystywany (prawdopodobnie będzie to wysyłanie spamu i ataki DDoS). Specjaliści ds. bezpieczeństwa starają się identyfikować adresy IP zarażonych komputerów i przesyłają alerty do odpowiednich dostawców usług internetowych (dzięki temu firma może poinformować swojego klienta o tym, że jego komputer jest zainfekowany i że powinien przeprowadzić skanowanie antywirusowe). Ale na razie to syzyfowa praca - liczba maszyn zarażonych robakiem rośnie zbyt szybko.

Najlepszym sposobem zabezpieczenia się przed atakiem robaka jest zainstalowanie poprawki na lukę w Windows Server, udostępnionej przez Microsoft. Uaktualnienie opisane jest w biuletynie MS08-067 dostępnym na stronie koncernu (umieszczono tam także plik do pobrania). Alternatywną metodą zabezpieczenia komputera jest skorzystanie z mechanizmu Microsoft Update.


TOP 200