söndag26 mars

Kontakt

Annonsera

E-tidning

Sök

Nyheter

Miljö

Socialt ansvar

Strategi

Rapporter

Event

Utbildning

Jobb

Kontakt

Annonsera

E-tidning

Sök

Logga in

Starta din prenumeration

Prenumerera

Klimat

Maskfara!

Publicerad: 8 januari 2009, 07:53

Ny mask stänger ute användare

F-Secure varnar för en ny version av en nätverksmask i varinaterna Downadup eller Conficker som härstammar från en huvudtyp kallad MS08-067. Masken infekterar arbetsstationer och servrar baserade på Windows och skapar flera olika problem. Sedan nyår har F-Secure fått många rapporter om företagsnätverk som blivit smittade.

Downadup använder flera olika metoder för att sprida sig såsom att gissa nätverkslösenord och infektera USB-minnen, samt även genom att utnyttja den sårbarhet i Windows Server Service som Microsoft nu åtgärdat. Följden är att det är ovanligt svårt att helt radera den skadliga koden när den väl finns inne i ett företags nätverk.

USB-maskar fungerar genom att skapa en fil kallad AUTRUN.INF på USB-minnets rot. INF-filen starts sedan automatiskt av programmen Autorun eller Autoplay när minnespinnen sätts in i datorn eller när användaren dubbelklickar på USB-enheten i avdelningen Den här datorn i Utforskaren.

Sanningen är att vi är tillbaka i diskettstadiet, där virusen en gång började med att lägga sig i startsektorn och exekvera varje gång en dator startade från diskett, någon gång i det grå 80-talet. Men man kan lätt se skillnad på vanliga Autorun-filer och den här maskens filer.

Ett typiskt problem som masken orsakar är att den stänger ute användare från nätverket. Det sker på grund av att masken försöker gissa (eller brute-force) nätverkslösenord och på så vis till sist aktiverar den automatiska utestängningen när den försökt gissa lösenordet för många gånger och misslyckats.

När väl masken infekterat en dator skyddar den aggressivt sig själv genom att starta tidigt i uppstartsprocessen och genom att sätta rättigheter på filer och registernycklar som hör till masken så att användare inte kan ta bort eller ändra dem.

Masken laddar ner modifierade versioner av sig själv från en lång rad webbsidor. Namnen på webbsidorna genereras av en algoritm baserad på nuvarande datum och klockslag. Eftersom det finns hundratals olika domäner som kan användas av den skadliga koden är det svårt för säkerhetsföretag att lokalisera och stänga dem i tid.

Läs mer på www.f-secure.com/weblog där även botemedel mot nätverkssmittan finns att ladda ned.

Jörgen Städje

Dela artikeln:

Håll dig uppdaterad med vårt nyhetsbrev

Välj nyhetsbrev