Rohamos terjedésnek indult egy Windows-féreg
Napok alatt hatalmas fertőzési hullám épült fel az interneten, állítja az F-Secure. A biztonsági cég konzervatív becslése már közel 9 millió fertőzött géppel számolt múlt hét pénteken -- azóta ez a szám minden bizonnyal sokkal magasabb.
Az F-Secure és a Symantec által is Downadup névvel illetett féreg (más néven Conficker, Kido) jelenléte ugyan legalább tavaly októberre nyúlik vissza, terjedése csak január elején gyorsult fel, mégpedig robbanásszerűen. A kezdetben elszigeteltnek tűnő, néhány ezres fertőzések millióssá nőtték ki magukat az elmúlt hetekben, és a hálózati hatást kihasználva gyorsulni látszanak. Az F-Secure múlt hét kedden még csak 2,4 millió fertőzött számítógépet becsült, amit szerdán 3,5 millióra emelt, majd péntekre a mutató megközelítette a 9 milliót. Az F-Secure a féreg kódjának elemzésével készíti az általa alsó becslésnek tartott kalkulációkat.
A Downadup alapvetően az MS08-067 jelölésű biztonsági kiadás által kezelt Windows-résen keresztül terjed, de képes a belső hálózati megosztást, és USB-s tárolókat is használni önmaga terjesztéséhez -- ezeket az F-Secure megbecsülni sem képes, így a megadott számok nem tartalmazzák az ilyen fertőzéseket. A rendkívüli biztonsági kiadással foltozott hiba a hálózati erőforrások kezeléséért felelős Windows Server szolgáltatásban húzódik meg, mely megfelelően megtervezett kommunikációval támadható túlcsordulásos technikával -- különösen a belső hálózatok veszélyeztetettek, ha bejut a féreg egy belső gépre. A hiba meglétére maga a Microsoft is úgy eszmélt rá, hogy a cég biztonsági szoftvere ártó kódra bukkant windowsos gépeken.
A jelenlegi tömeges fertőzés láthatóan a nem karbantartott, vagyis nem frissen tartott Windowsoknak okoz problémát, ennek megfelelően elsősorban a nagyarányú kalózkodással rendelkező országokat sújtja, mint Kína, Brazília, vagy Oroszország -- Magyarországon is már több tízezer fertőzött gép valószínűsíthető. Amint a féreg bejutott a rendszerbe, lekapcsolja a frissítési szolgáltatásokat, letiltja a Windows Update-et és egyéb, biztonsági szoftverekkel foglalkozó oldalakat is. A védettséghez telepíteni kell a MS08-067 foltozást, ki kell kapcsolni az automatikus indítást, valamint frissen kell tartani a vírusirtókat. Egy fertőzött gép megtisztításához teljes rendszerszkennelést kell végezni, a féreg ugyanis polimorf. A fertőzés egyik jele lehet a rendszeres leválás az Active Directory tartományról, amit a sikertelen jelszótörés eredményezhet.