Ostatnio ukazało się kolejne wcielenie sieciowego robaka wykorzystującego dziurę w systemach Microsoftu. Nachi jest programem działającym w podobny sposób jak jego poprzednik – infekuje poprzez niezałataną dziurę w mechaniźmie DCOM RPC, po czym wydaje na zaatakowanej maszynie polecenie ściągnięcia i uruchomienia siebie samego. Jak do tej pory wszystko w porządku…

Zaskakującym jest jednak dalsze działanie samego robala. Nachi po przeprowadzeniu skutecznej infekcji… usuwa swojego poprzednika oraz aplikuje odpowiednie poprawki z serwerów Microsoftu (faktycznie uszczelniając system przed samym sobą), po czym nadal szuka niezabezpieczonych komputerów, próbując na nich przeprowadzić zaprogramowane działania.

Czyli mamy do czynienia z robalem łatającym podatne systemy, na pierwszy rzut oka Nachi wydaje się istnym remedium na podobne problemy, jednak nie da się tego traktować jako pożądane działanie – robal może zablokować czy spowolnić sieci, ponieważ nie jest pod kontrolą. Chociaż może jednak jest to jakiś sposób na połatanie systemów niefrasobliwych użytkowników/administratorów? W każdym razie jest to, o ile pamiętam może któryś z czytelników jest bardziej spostrzegawczy, pierwszy przykład robala o tego typu działaniu. Ciekawostka, chociaż obie mutacje (Nachi i LovSan) udawadniają jedynie, że coś nadal jest niezbyt w porządku z mechanizmami łatania systemów z Redmond, w świetle niemal dwuletniej już inicjatywy Microsoftu, mającej na celu zwiększenie bezpieczeństwa swoich systemów, dzialania tych i poprzednich (Slammer chociażby) robali nie stawia w/w inicjatyw w zbyt jasnym świetle. Charlie Demerjian, na łamach The Inquirer również prezentuje swoje spojrzenie na sprawę robala msblast.exe i incjatywę Trustworthy Computing.

Archiwalny news dodany przez użytkownika: e.
Kliknij tutaj by zobaczyć archiwalne komentarze.

Oznaczone jako → 
Share →