Robaki atakują Windows

Na całym świecie od kilkunastu godzin gwałtownie rozprzestrzeniają się robaki, infekujące komputery poprzez błędy w systemie Windows. Głównym celem "insektów" są komputery pracujące pod kontrolą systemu Windows 2000. Sytuacja jest naprawdę poważna - różne wersje robaków Zotob i Rbot poważnie zakłóciły już pracę kilku wielkich korporacji, m.in. CNN, SBC Communications czy ABC Computer. "Robaki te są wyjątkowo groźne. Wykorzystują jedną z ostatnich luk, która umożliwia przejęcie całkowitej kontroli nad komputerem" - ostrzega Jakub Dębski z firmy ArcaBit.

W tej chwili nie wiadomo, jak potoczy się rozwój wypadków - "Następne 12 godzin zdecyduje, czy będziemy mieli do czynienia z prawdziwą epidemią, czy może aktywność robaków stopniowo będzie wygasać" - mówi Joe Hartmann, szef zespołu badawczego firmy Trend Micro.

Zdaniem Hartmana, w najgorszym przypadku nowe robaki mogą stać się równie aktywne jak osławiony Code Red czy Nimda - m.in. dlatego, że podobnie jak one, po zainfekowaniu jednego komputera w sieci (np. firmowej), automatycznie zaczynają wyszukiwać wszystkie podatne na atak maszyny i zarażają je.

Robak Plug and Play

Nowe robaki rozprzestrzeniają się za pośrednictwem protokołu TCP/IP, poprzez błąd w systemie Plug and Play - luka w zabezpieczeniach PaP umożliwia zainfekowanie komputera bez żadnego działania ze strony użytkownika. Zarażone komputery mogą być zdalnie kontrolowane - robaki oczekują na instrukcje przesyłane za pośrednictwem protokołu IRC. Warto przypomnieć, że Microsoft poinformował o błędzie w Plug and Play w ubiegłym tygodniu, wraz z udostępnieniem łatki usuwającej problem - więcej na temat w materiale "Wielkie łatanie Microsoftu".

Nowe robaki zagrażają przede wszystkim firmom, głównie dlatego, że atakują systemy Windows 2000 oraz NT - najpopularniejsze właśnie w przedsiębiorstwach. Administratorzy sieci korporacyjnych często zwlekają z instalowaniem udostępnianych przez Microsoft patchy - do czasu upewnienia się, że nie powodują one żadnych problemów z kompatybilnością aplikacji i stabilnością systemu. Ta zasada pozwala im uniknąć problemów z usuwaniem wadliwych uaktualnień - tym razem jednak okazała się przyczyną problemu.

Robak, a sprawa polska

"W tej chwili otrzymujemy bardzo mało zgłoszeń od prywatnych użytkowników. Prawdopodobnie wynika to z faktu, że większość użytkowników korzysta w domu z systemów operacyjnych Windows XP lub - na starszych komputerach - z systemów z serii 9x - według statystyk pochodzących z naszego serwera aktualizacji, komputerów z systemem XP jest ponad 11 razy więcej niż tych z systemem Windows 2000" - mówi Jakub Dębski z firmy ArcaBit.

Jak tłumaczy przedstawiciel ArcaBit, w tej chwili na atak narażeni są jedynie użytkownicy systemu Windows 2000 - sytuacja ta może jednak szybko ulec zmianie: "Ponieważ robaki wykorzystujące dziurę w Plug and Play korzystają ze stałego adresu zapisanego w jednej z bibliotek systemu Windows 2000, aktualnie tylko ten system jest zagrożony. Dziura jednak dotyczy wszystkich nowych systemów, więc w każdej chwili może pojawić się robak atakujący systemy Windows XP. Biorąc pod uwagę to, że powstało już kilka robaków wykorzystujących tę dziurę, można spodziewać się że tego typu robak pojawi się na dniach" - wyjaśnia Jakub Dębski.

"Robaki te są wyjątkowo groźne. Wykorzystują jedną z ostatnich luk, która umożliwia przejęcie całkowitej kontroli nad komputerem. Głównym powodem zagrożenia jest niewielki czas pomiędzy opublikowaniem dziury, a powstaniem robaka. W przypadku Blastera było to około pół roku, w przypadku Sassera czas skrócił się o połowę. Robak Zotob pojawił się już w ciągu tygodnia od momentu opublikowania dziury, a jest to okres na tyle mały, że użytkownicy mogą nie zdążyć dokonać aktualizacji systemu. Sprzyja temu okres wakacyjny - osoba, która wróci z tygodniowego urlopu może stać się ofiarą robaka kiedy tylko połączy się z Internetem. Niewielki odstęp czasu pomiędzy opublikowaniem informacji o podatności a powstaniem robaka sprzyja również infekcji sieci korporacyjnych poprzez komputery przenośne. Często ich użytkownicy (korzystając np. z GPRSa) wyłączają aktualizację programów antywirusowych, aby ograniczyć liczbę przesyłanych danych. Zainfekowany notebook, który przyłączony zostanie bezpośrednio do sieci lokalnej, omija większość zabezpieczeń umieszczonych na styku "sieć lokalna-internet". Z tego powodu konieczna jest aktywacja firewalla również na stacjach roboczych" - podsumowuje przedstawiciel ArcaBit.

Zotob atakuje CNN

Jak do tej pory nowe robaki skutecznie zaatakowały już kilkaset firm, w tym kilka wielkich amerykańskich korporacji - m.in. CNN, SBC oraz redakcję The New York Times. Przedstawiciele firm nie podali co prawda szczegółowych informacji o problemach, wiadomo jednak, że wystąpiły w nich poważne zakłócenia pracy infrastruktury informatycznej. Informatycy natychmiast rozpoczęli pilne "łatanie" narażonych na atak komputerów i w tej chwili sytuacja powoli wraca do normy.

Komentuje Piotr Kijewski z CERT Polska
Jeśli chodzi o wymienione amerykańskie korporacje, to być może ich własny wewnętrzny cykl instalowania aktualizacji okazał się zbyt wolny, stąd u nich taki efekt. Robaki stanowią zagrożenie w stosunku do wszystkich którzy nie zdążyli z uaktualnieniem swoich systemów.

Bardziej skuteczny mechanizm uaktualnień oraz fakt coraz szerszego stosowania firewalli sprawia, że efekt działania nowych robaków jest mniejszy niż poprzedników (np. Slammera) - w Sieci nie ma olbrzymiego wzrostu zainfekowanych hostów, jak to bywało wcześniej. Mamy okres wakacyjny - po jego zakończeniu wiele osób po raz pierwszy włączy swoje komputery, bez zainstalowanych aktualizacji. Wtedy prawdopodobnie nastąpi wzrost liczby infekcji.


Więcej informacji o robaku Zotob można znaleźć w tekście "Niebezpieczny robak Plug and Play".

Łatkę, usuwającą błąd w Plug and Play, można pobrać ze strony Microsoftu.

Aktualizacja: 18 sierpnia 2005 09:37
Microsoft udostępnił nową wersję narzędzia Windows Malicious Software Removal Tool, za pomocą której można usunąć z systemu wszystkie wykryte do tej pory wersje robaka Zotob. Program pobrać można za pośrednictwem mechanizmu Microsoft Update lub ze strony koncernu.
Aktualizacja: 17 sierpnia 2005 12:20
Tekst został zaktualizowany o komentarze Piotra Kijewskiego z CERT Polska oraz Jakuba Dębskiego z firmy ArcaBit.
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.