Ostatnio ukazało się kolejne wcielenie sieciowego robaka wykorzystującego dziurę w systemach Microsoftu. Nachi jest programem działającym w podobny sposób jak jego poprzednik – infekuje poprzez niezałataną dziurę w mechaniźmie DCOM RPC, po czym wydaje na zaatakowanej maszynie polecenie ściągnięcia i uruchomienia siebie samego. Jak do tej pory wszystko w porządku…
Zaskakującym jest jednak dalsze działanie samego robala. Nachi po przeprowadzeniu skutecznej infekcji… usuwa swojego poprzednika oraz aplikuje odpowiednie poprawki z serwerów Microsoftu (faktycznie uszczelniając system przed samym sobą), po czym nadal szuka niezabezpieczonych komputerów, próbując na nich przeprowadzić zaprogramowane działania.
Czyli mamy do czynienia z robalem łatającym podatne systemy, na pierwszy rzut oka Nachi wydaje się istnym remedium na podobne problemy, jednak nie da się tego traktować jako pożądane działanie – robal może zablokować czy spowolnić sieci, ponieważ nie jest pod kontrolą. Chociaż może jednak jest to jakiś sposób na połatanie systemów niefrasobliwych użytkowników/administratorów? W każdym razie jest to, o ile pamiętam może któryś z czytelników jest bardziej spostrzegawczy, pierwszy przykład robala o tego typu działaniu. Ciekawostka, chociaż obie mutacje (Nachi i LovSan) udawadniają jedynie, że coś nadal jest niezbyt w porządku z mechanizmami łatania systemów z Redmond, w świetle niemal dwuletniej już inicjatywy Microsoftu, mającej na celu zwiększenie bezpieczeństwa swoich systemów, dzialania tych i poprzednich (Slammer chociażby) robali nie stawia w/w inicjatyw w zbyt jasnym świetle. Charlie Demerjian, na łamach The Inquirer również prezentuje swoje spojrzenie na sprawę robala msblast.exe i incjatywę Trustworthy Computing.
Archiwalny news dodany przez użytkownika: e.
Kliknij tutaj by zobaczyć archiwalne komentarze.
Share →
Ostatnie komentarze
- Zaufana Trzecia Strona - MAiC proponuje polskie "Raporty o przejrzystości"
- fantomik - Backdoorów PRISM nie ma. Pełnej informacji w Transparency Reports też.
- rumcajs - Backdoorów PRISM nie ma. Pełnej informacji w Transparency Reports też.
- KMP - Permanentna inwigilacja – również w Polsce
- KMP - Permanentna inwigilacja – również w Polsce