Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

Flera maskar utnyttjar sårbarheten i Microsoft tjänst Plug and Play

Viktigt att uppdatera sårbara system.

För en dryg vecka sedan, 050809, publicerade Microsoft flera sårbarheter i deras produkter varav fyra kan anses som allvarligare. I samband med skickade Sitic ut ett blixtmeddelande för att uppmärksamma vikten av att installera programrättningarna. För att prenumerera på tjänsten gå till blixtmeddelande och följ instruktionerna. En av dessa sårbarheter, Microsoft Windows tjänst Plug and Play, har utnyttjats av flera maskar.

Zotob.A som uppmärksammades 050814 var den första masken att utnyttja sårbarheten och för närvarande finns det åtminstone elva stycken maskar som utnyttjar den. Antivirusföretag brukar ibland ge samma mask skilda namn, enligt företaget F-Secure utnyttjar tre maskar av familjen Zotob (.A till och med .C), en mask av familjen Rbot (.ADB), en mask av familjen Sdbot (.YN), en mask av familjen CodBot och tre maskar av familjen IRCbots (.ES, .ET och .EX) sårbarheten. Organisationen SANS har även försökt sammanställa maskarna som utnyttjar sårbarheten och kort beskrivit skillnaderna bland dessa maskar, här namngivna som Zotob.A - Zotob.G.

Information om maskarna:

http://www.f-secure.com/weblog/
http://www.f-secure.com/v-descs/zotob_a.shtml
http://www.f-secure.com/v-descs/zotob_b.shtml
http://www.f-secure.com/v-descs/zotob_c.shtml
http://www.f-secure.com/v-descs/bozori_a.shtml
http://www.f-secure.com/v-descs/bozori_b.shtml
http://www.f-secure.com/v-descs/bozori_c.shtml

http://isc.sans.org/diary.php?date=2005-08-17
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.a.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.b.html/A>
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.c.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.d.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.e.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.f.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.g.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.h.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.esbot.a.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.esbot.b.html

http://www.microsoft.com/sverige/security/zotob.asp
http://www.microsoft.com/security/incident/zotob.mspx
http://www.microsoft.com/technet/security/advisory/899588.mspx

Det har uppmärksammats att flera organisationer fått problem av dess maskar, både nationellt och internationellt.

Information om maskens spridning:

http://www.idg.se/ArticlePages/200508/18/20050818083329_CS/20050818083329_CS.dbp.asp
http://www.idg.se/ArticlePages/200508/17/20050817203334_SOS/20050817203334_SOS.dbp.asp
http://www.informationweek.com/story/showArticle.jhtml;jsessionid=5HA0IKATJKF4OQSNDBOCKHSCJUMEKJVN?articleID=169300009&tid=6004
http://www.informationweek.com/story/showArticle.jhtml?articleID=169300366&tid=6004
http://news.zdnet.co.uk/internet/security/0,39020375,39213557,00.htm

Detta uppmärksammar återigen vikten och problemen med att se till att operativsystem och övrigt mjukvara är uppdaterade, för att därigenom unvika sårbarheter i IT-miiljön. Sitic har skrivit ett förebyggande råd angående detta, hantering av programrättningar och systemuppdateringar.

Flera av dessa maskar skapar botnets. En dator som kan fjärrstyras brukar kallas bot och när flera kan fjärrstyras av samma individ eller individer kallas det botnet. F-Secure rapporterar även att visa maskar tar bort andra maskar, exempelvis tar IRCBot och Bozori bort varianter av PnP bots. Enligt dem verkar det som att de bakom IRCBot och Bozori förstör för de bakom Zotobs och andra botar.

Information om maskar som förstör andra maskar:

http://www.f-secure.com/weblog/
http://www.computerworld.com/securitytopics/security/story/0,10801,103981,00.html?SKC=security-103981
http://www.informationweek.com/story/showArticle.jhtml;jsessionid=5HA0IKATJKF4OQSNDBOCKHSCJUMEKJVN?articleID=169300424&tid=6004