Wszystko wskazuje na to, że błąd w obsłudze RPC odkryty przez polską grupę LSD, o czym pisaliśmy 18 lipca, został wykorzystany do stworzenia robaka internetowego.
Po wstępnym zainfekowaniu maszyny otwiera shella na porcie 4444/tcp, następnie właściwy kod wirusa ściągany jest z jednego z wielu serwerów TFTP i próbuje infekować inne losowe IP poprzez port 135/tcp.
Istnieje też prawdopodobieństwo, że robak zawiera procedury ataku DDoS skierowane przeciwko stronie www.windowsupdate.com znanej też jako windowsupdate.microsoft.com.
Należy podkreślić, że LSD nie udostępniło szczegółów technicznych błędu ani kodu exploita. Autor prawdopodobnie wywnioskował gdzie należy szukać błędu ze szczątkowych informacji zebranych na sieci.
Więcej informacji:
- ISC Sans: http://isc.sans.org/diary.html?date=2003-08-11
- lokalna kopia powyższego, na wypadek „efektu /.”: http://linux.gda.pl/pub/LSD-Windows_bug/
Archiwalny news dodany przez użytkownika: wanted.
Kliknij tutaj by zobaczyć archiwalne komentarze.