preskoči na sadržaj
.
CARNet novosti
Preuzmi RSS
| Objavljeno 25. 8. 2003. 00:00 | RSS

Četiri crva ugrozila računalnu sigurnost

Nacionalni centar za sigurnost računalnih mreža - CERT, koji djeluje u sklopu CARNeta, upozorava da su tijekom kolovoza četiri računalna crva ugrozila sigurnost na mreži - Mimail, MS Blast, W32/Nachi i Sobig.F. Detaljnije informacije o suzbijanju tih računalnih ranjivosti možete pronaći na adresi http://www.cert.hr/.

Nacionalni centar za sigurnost računalnih mreža - CERT, koji djeluje u sklopu CARNeta, upozorava da su tijekom kolovoza četiri računalna crva ugrozila sigurnost na mreži - Mimail, MS Blast, W32/Nachi i Sobig.F. U CERT-u naglašavaju da se crvi i virusi i inače pojavljuju intenzivno, ali se obično ne događaju ovakve masovne infekcije. Detaljnije informacije o suzbijanju ovih, ali i ostalih, računalnih ranjivosti dostupne su na službenim stranicama CARNet CERT-a http://www.cert.hr/. Donosimo kronologiju pojave i širenja spomenutih računalnih ranjivosti: · 01. kolovoza 2003. - ISS grupa upozorila je na širenje novog mass-mailing crva nazvanog "Mimail". Za svoje širenje crv se koristi propustom u Internet Exploreru koji omogućuje skrivanje izvršne datoteke crva u naizgled bezopasnu html datoteku.

Predmet inficirane poruke (Subject) sadrži tekst "your account" iza kojega slijedi slučajno odabrani niz riječi dok tekst sadržan u tijelu poruke navodi korisnika da otvori priloženu "message.zip" datoteku unutar koje se nalazi inficirana "message.html" datoteka. Za daljnje širenje crv koristi e-mail adrese pronađene u eml.tmp datoteci na inficiranom računalu i ugrađenu podršku za SMTP protokol. · 12. kolovoza 2003. - Uočeno je širenje novog mrežnog crva pod nazivom "MS Blast". Crv se širi pomoću već dobro poznatog sigurnosnog propusta u Microsoftovoj implementaciji RPC protokola, opisanog u preporuci MS03-026. Nakon uspješne instalacije, koju je moguće detektirati postojanjem datoteke %System%msblast.exe, MS Blast pokreće DoS napad protiv windowsupdate.com site-a. Crv je programiran tako da se prestaje širiti 31.12.2003. · 18. kolovoza 2003. - Mrežom se počeo širiti W32/Nachi crv. Crv iskorištava ranjivost DCOM RPC ranjivost na Win XP, NT i 2000 sustavima. Inficirana računala generiraju veliku količinu ICMP Echo request prometa (ping) čime uzrokuju probleme u mrežnom prometu. Crv koristi datoteke dllhost.exe i svchost.exe koje smješta u Wins direktorij kompromitiranog sustava te otvara TCP port 707 za dolazne konekcije. · 19. kolovoza 2003. - Pojavila se nova inačica crva Sobig pod nazivom Sobig.F. Kao i prijašnje inačice, crv se širi putem e-mail poruka i dijeljenih mrežnih direktorija.

Za svoje širenje putem e-mail-a Sobig koristi vlastiti SMTP poslužitelj krivotvoreći pri tome "From" polje poruke koristeći se nekom od e-mail adresa pronađenom na zaraženom sustavu. Zaražene poruke lako je prepoznati po tekstu "Please see the attached file for details." ili "See the attached file for details " koji se nalazi u tijelu poruke. Crv je programiran tako da se prestaje širiti 10.rujna 2003. Putem e-mail adrese ccert@cert.hr mogu se prijaviti svi problemi vezani uz sigurnost na mreži koje će CERTovi stručnjaci riješiti u najkraćem mogućem roku.

Nela Marasović

Uredništvo weba


Kontakt i adresar

CARNet sjedište
  • Josipa Marohnića 5 10000 Zagreb
    Sjedište CARNeta nalazi se u Zagrebu.
    tel.: +385 1 6661 616
    e-mail: ured@carnet.hr

 
preskoči na navigaciju