W popularnym serwerze FTP znaleziono klasyczny błąd pozwalający nadpisać dane znajdujące się na stosie. Dokładny opis błędu można znaleźć na bugzilli proftpd :
http://bugs.proftpd.org/show_bug.cgi?id=3521. Błąd zgłoszony przez TippingPoint związany jest z czytaniem sekwencji znaków zaczynających się od TELNET_IAC (opis sekwencji w RFC854). Możliwe jest przeprowadzenie zdalnego ataku na serwer FTP. Podatne są wersje 1.3.2 oraz 1.3.3.
Dwa dni temu, przy okazji naszych przewidywań dotyczących działań robaka Conficker po 1-szym kwietnia wspomnieliśmy, że monitorujemy pewną liczbę domen z którymi zarażone komputery miały się łączyć. W niniejszym artykule chcieliśmy podzielić się dotychczas uzyskanymi informacjami wynikającymi z tych obserwacji.
Domeny przez nas obserwowane pochodzą z kwietniowej listy “polskich nazw domenowych” (”.pl”) wygenerowanych przez rozpracowany przez specjalistów confickerowy Algorytm Generujący Domeny (z ang. Domain Generation Algorithm). Używamy od kilkunastu do kilkudziesięciu domen z pierwszych dni kwietnia (robak komunikuje się codziennie z innym zestawem domen). Odpowiednie wpisy w serwerze DNS kierowały połączenia do domen na specjalny dedykowany komputer udający serwer www (tzw. honeypot). Aby uniknąć wykrycia i jak najbardziej upodobnić się do serwerów “confickerowych” odwzorowanie domena <-> adres IP wynosi 1:1.
Dotychczasowe nasze obserwacje potwierdzają ogólne przewidywania naukowców zajmujących się analizą robaka: od północy czasu GMT zanotowaliśmy wzrost liczby połączeń. Musieliśmy jednakże odfiltrować ruch, który jednoznacznie wskazywał na nie pochodzący od zainfekowanych komputerów. Pierwszym wyznacznikiem był występujący w protokole HTTP nagłówek User-Agent określający przeglądarkę, której klient używa do połączenia się z serwerem www. Conficker identyfikuje się jako Internet Explorer. Kolejnym ważnym punktem był nagłówek HTTP Host – robak najpierw zamienia adres domenowy na IP, a dopiero następnie wykonuje połączenie bezpośrednio na to IP. Odpadają więc wszystkie połączenia, które w nagłówku Host miały adres domenowy, a nie IP.
Na powyższym wykresie przedstawiono ilość połączeń HTTP GET w dziesięciominutowym oknie czasowym dla domen z 1-go kwietnia. Kolorem niebieskim oznaczono prawdopodobne połączenia zarażonych komputerów, natomiast czerwonym ruch, co do którego mamy pewność, że nie jest aktywnością robaka. Czerwony wykres rozpoczyna się z końcem wykresu niebieskiego, nie jest liczony od osi odciętych.
Okazało się, że “nie-confickerowych” połączeń było nadspodziewanie dużo – aż ok. 20% ruchu. Co więcej, ruch ten utrzymywał się na stałym poziomie. Wygląda więc na to, że badacze Confikera mogą mocno przyczynić się do obciążenia łączy i przypadkowych serwerów. Poza tym świadczy to o tym, że zainteresowanie/uwaga poświęcona robakowi jest póki co niewspółmierna do realnego zagrożenia.
Kolejny wykres przedstawia zestawienie połączeń HTTP GET (rozdzielczość, to również dziesięciominutowe okno czasowe) rozszerzone o domeny z dnia 2-go kwietnia (wykres zielony). Dodatkowo, aby pokazać skalę połączeń “nie-confickerowych”, wykres czerwony i niebieski rozdzielono.
Pierwszego kwietnia (a więc już za chwilę) ma się zaktualizować najgroźniejszy ostatnimi czasy robak Conficker (zwany także Downadup lub Kido) i… No właśnie, i co? Wiele doniesień prasowych spekuluje najgorsze rzeczy. Wygląda jednak na to, że to szukanie (na wyrost) sensacji i sianie paniki.
Po pierwsze, złośliwe oprogramowanie bardzo często aktualizuje się na komputerze ofiary – Conficker nie jest wyjątkiem. Co więcej, w obecnej wersji tego robaka już istnieje mechanizm aktualizacji poprzez wbudowany protokół P2P! Oczekiwany na jutrzejszy dzień update jest więc lekko “przereklamowany” – byłaby to po prostu kolejna aktualizacja.
To co wydarzy się pierwszego kwietnia to zmiana algorytmu, dzięki któremu już zainfekowane komputery wyszukiwać będą potencjalne źródła update’ów. Znane są (wygenerowane automatycznie według pewnego algorytmu) domeny, z którymi Conficker będzie się łączył. Zapewne wiele z nich jest już cały czas monitorowanych przez specjalistów od bezpieczeństwa. Przykładem jest tutaj chociażby CERT Polska - monitorujemy pewną liczbę domen, które w przeciągu kilku dni miały być użyte przez twórców Confickera. W przyszłości opublikujemy raport z naszych obserwacji.
Co się więc prawdopodobnie stanie? Każda instancja bota będzie usiłowała się połączyć poprzez HTTP GET z serwerami kryjącymi się pod nazwami z losowej puli 500 domen z 50 000 możliwych danego dnia, w celu sprawdzenia, czy udostępniane są nowe aktualizacje. Najprawdopodobniej odpytywane przez zarażone komputery serwisy mogą być “zalane” połączeniami, w sposób niezamierzony wywołując efekt podobny jak w ataku DDoS. Narażone na DDoS są więc serwisy, których domeny zostały już wcześniej zarejestrowane w innych celach, nie związanych z Confickerem. Jednakże wydaje się mało prawdopodobne, by twórcy Confickera zdecydowali się na masową aktualizację akurat tego dnia, w którym wszyscy się tego spodziewają i większość specjalistów od bezpieczeństwa monitoruje te adresy. Może wręcz się okazać, że do aktualizacji z wykorzystaniem domen nie dojdzie, albowiem zostanie wykorzystany (lub już został) mechanizm P2P.
Pomimo, że uważamy iż nic wielkiego nie stanie się pierwszego kwietnia, to nie zmienia to faktu, że Conficker stanowi duże zagrożenie. Nie należy zatem wpadać w panikę, tylko upewnić się czy infekcja nie występuje na własnym komputerze / we własnej sieci.
Przykładowe narzędzia służące do usuwania Confickera:
Więcej szczegółów o samym robaku i jego związku z pierwszym kwietnia:
Poniżej publikujemy listę kwietniowych domen “.pl” (posortowane alfabetycznie), które mają być użyte przez robaka. Jeżeli wasza domena przypadkiem znajduje się na niej – warto przygotować się na ewentualny atak DDoS.
Polecamy także poprzednie nasze wiadomości związane z tym zagrożeniem:
W lutowych biuletynach bezpieczeństwa Microsoft opisał krytyczną lukę MS09-002 w przeglądarce Internet Explorer 7 pozwalającą na wykonanie w systemie dowolnego kodu poprzez wyświetlenie specjalnie spreparowanej strony WWW. Równocześnie opublikowany został patch na tą podatność. Tydzień po opublikowaniu poprawki w sieci pojawił się exploit wykorzystujący lukę MS09-002 w IE 7. Co ciekawe, exploit został stworzony na podstawie poprawki wydanej przez Microsoft z wykorzystaniem technik inżynierii wstecznej (ang. reverse engineering). Krążył on początkowo jako dokument programu Word, rozsyłany jako załącznik w spamie. Dokument zawierał kontrolkę ActiveX, która automatycznie pobierała złośliwą stronę WWW. Zawarty na tej stronie kod ściągał i instalował pod postacią biblioteki .dll backdoora, którego główną funkcją było wykradanie informacji z zainfekowanego komputera.
Ostatnio atakujący wykorzystują wspomnianą lukę także w atakach klienckich na przeglądarki WWW. W tym przypadku nie jest wymagana interakcja użytkownika polegająca na otworzeniu załącznika przesłanego w spamie, a jedynie wejście na spreparowaną stronę WWW zawierającą kod expolita. Infekcja następuje automatycznie, bez ingerencji czy wiedzy użytkownika (tzw. drive-by download). Takie strony już pojawiły się w sieci i są wykorzystywane do infekowania niezałatanych systemów złośliwym oprogramowaniem. Exploit nie jest jeszcze powszechnie wykrywany przez silniki antywirusowe – złośliwy kod wykorzystujący lukę MS09-002 umieszczony na jednej z takich stron jest wykrywany tylko przez 9 z 38 antywirusów z serwisu VirusTotal: http://www.virustotal.com/pl/analisis/a3262a0018e7b02e4e647506a8365091.
Kod z tej strony nie był zaciemniony (ang. obfuscated) – w przypadku zastosowania tej techniki współczynnik detekcji jest jeszcze niższy. Dopiero właściwy plik wykonywalny (zawierający konia trojańskiego) ściągany i uruchamiany przez exploita jest wykrywany przez większą liczbę programów antywirusowych: http://www.virustotal.com/analisis/7c7dc6a0fe92a80f53e65b099ff3391f.
Incydenty związane z luką MS09-002 stanowią kolejne potwierdzenie, że ataki na aplikacje klienckie zyskują na popularności. Zamiast aktywnego poszukiwania celów, jak w przypadku propagacji robaków sieciowych, złośliwy kod umieszczany jest na stronach internetowych pasywnie oczekując na odwiedziny niczego niepodejrzewającego internauty. Do detekcji tego rodzaju zagrożeń został stworzony projekt HoneySpider Network – system klienckich honeypotów bazujący na robotach emulujących przeglądarki jak i na rzeczywistych przeglądarkach uruchamianych w wirtualnym środowisku.
Ponieważ kod exploita został publicznie udostępniony, w najbliższym czasie można spodziewać się wzrostu liczby stron wykorzystujących opisywaną lukę do infekowania użytkowników różnymi wariantami złośliwego oprogramowania. Osobom, które jeszcze nie zaktualizowały systemu, rekomendujemy jak najszybszą instalację łatek MS09-002. Warto zaznaczyć, iż błąd ten występuje tylko w przeglądarce Internet Explorer w wersji 7 (IE 6, jak również inne przeglądarki jak Firefox czy Opera są bezpieczne). Nie oznacza to jednak, że użytkownicy alternatywnych przeglądarek są bezpieczni – w przypadku spreparowanego załącznika Word do uruchomienia strony WWW za pomocą kontrolki ActiveX zostanie zawsze użyty Internet Explorer, niezależnie od ustawień domyślnej przeglądarki. Jest więc niezwykle ważne, aby instalować aktualizacje dla wszystkich przeglądarek zainstalowanych w systemie, nawet jeśli nie wszystkie z nich są używane.
Więcej informacji:
http://www.microsoft.com/poland/technet/security/bulletin/ms09-002.mspx
http://isc.sans.org/diary.html?storyid=5884
http://isc.sans.org/diary.html?storyid=5899
http://blogs.zdnet.com/security/?p=2607
Nie ma wątpliwości, że grasujący od listopada robak Conficker (zwanym także Downadup lub Kido) stał się największym tego typu zagrożeniem z okresu ostatnich kilku lat. Kolejne doniesienia prasowe mówiły o ustalaniu następnych rekordów zarażonych komputerów, dochodzących nawet do kilkunastu milionów. Zdarzały się też optymistyczne wieści, że główną falę ataków mamy już za sobą. Poniżej podzielamy się naszymi obserwacjami dokonanymi przez system ARAKIS. Warto pamiętać, że system korzysta z rozproszonej sieci sensorów znajdujących się tylko na terenie Polski, więc informacje przez niego dostarczane można interpretować jako próbę zobrazowania sytuacji z punktu widzenia polskiego użytkownika systemu Windows.
Na początek krótkie wprowadzenie co to jest ten Conficker i jak się nim można zarazić? Robak (jego pierwsza wersja) pojawił się w listopadzie zeszłego roku i wykorzystywał lukę znajdującą się w mechanizmie obsługi zdalnych wywołań procedur RPC (biuletyn bezpieczeństwa Microsoft numer MS08-067). Pomimo wydania (i to jeszcze przed pojawieniem się robaka!) przez Microsoft poprawki, regularnie rosła liczba zainfekowanych komputerów. Początkowo robak propagował się tylko przez sieć (wykorzystując wspomnianą wyżej podatność i tylko ją) – przez porty 445 i 139 TCP. Jednak na początku stycznia twórcy robaka uzbroili go w nowe groźne funkcjonalności – Conficker.B (bo tak nazwano nową odmianę) próbuje dostać się do systemu ofiary poprzez udostępnione w sieci lokalnej zasoby, a gdy te są chronione, próbuje złamać hasło! Robak używa ataku słownikowego, więc podatne są nieskomplikowane hasła (przy okazji polecamy nasz poradnik “Jak skonstruować dobre hasło?“). Ponadto infekowane są przenośne pamięci, jak na przykład zewnętrzne dyski twarde, pendrive’y, odtwarzacze mp3 czy karty pamięci. Oznacza to, że zagrożone są także komputery mające załataną podatność opisaną w MS08-067. To wszystko sprawiło, że według naszych obserwacji przez pierwsze dwa tygodnie nowego roku potroiła się liczba zainfekowanych komputerów. Objawiło się to wyraźnym wzrostem ruchu (unikalne adresy IP) na ARAKISowych wykresach opisujących port 445/TCP dotyczących zarówno honeynetu, jak i firewalli czy darknetu (o źródłach z których korzysta ARAKIS można przeczytać w ARAKIS FAQ).
Wykres przedstawia aktywność zaobserwowaną tylko przez honeypoty. Oś rzędnych przedstawia liczbę unikalnych (niepowtarzalnych) adresów IP w 5-minutowym “oknie” czasowym. Dobowe wahania odzwierciedlają najprawdopodobniej pory dnia, w których najczęściej zarażone komputery były użytkowane (maksimum wypada w okolicach godziny 18 polskiego czasu, minimum między 1 a 8 rano).
Mniej więcej od połowy stycznia trend się “uspokoił”. Wprawdzie obserwujemy ciągły wzrost liczby zainfekowanych komputerów, lecz nie jest on już tak wyraźny. Oczywiście nie cała aktywność na porcie 445/TCP oznacza Confickera – są jeszcze inne robaki (jak np. Sasser), które ciągle propagują się przez ten port. Jednak liczba zarażonych nimi (łącznie) komputerów jest ok. kilkanaście razy mniejsza, niż hostów zainfekowanych Confickerem. W systemie ARAKIS wytworzyły się dwa klastry opisujące pierwszy etap nawiązania połączenia przez tego robaka (dokładnie negocjację SMB). Analizując statystyki dotyczące aktywności klastrów okazuje się, że ok. 70%-80% (dane z ostatniego tygodnia) wszystkich komputerów widzianych w honeynecie ARAKISa propagowało Confickera (klaster opisujący tego robaka jest na pierwszym miejscu zarówno pod względem ilości unikalnych źródłowych adresów IP, jak i ilości przepływów). Według obserwacji ARAKISa jest to więc obecnie największe zagrożenie, które rozprzestrzenia się drogą sieciową w sposób aktywny, a pamiętać należy, że to nie jedyna metoda propagacji tego robaka. Poniżej statystyki klastrów z ostatnich 24 godzin.
Można więc śmiało powiedzieć, że problem “epidemii” Confickera dotyczy także polskich użytkowników systemu Windows i Internetu. Ciekawe więc mogą być obserwacje ilości ataków widocznych w ARAKISie pochodzących z terytorium Polski. W rankingu TOP 10 państw, z których widoczne były próby ataku, Polska (na szczęście!) w ogóle nie występuje. Najwięcej połączeń (ok. 23%) pochodzi z terytorium Rosji, a następnie blisko siebie są Brazylia i Chiny (ok. 12%). Rozpatrując tylko polskich dostawców Internetu statystyki pokazują najwięcej połączeń z sieci takich providerów, jak TPNET, Netia, Dialog, Vectra, Multimedia. Są to więc m.in. najwięksi polscy dostawcy Internetu, przy czym im więcej klientów, tym więcej infekcji (co jest logiczne). Z powodu różnic w ilości klientów nie ma sensu pokazywać statystyk opisujących który provider ma najwięcej zarażonych komputerów. Można natomiast pokazać procentowy rozkład źródeł ataków na województwa. Najwięcej, bo aż ok. 50% widzianych w ARAKISie “polskich” ataków, pochodzi w województwa dolnośląskiego.
Podsumowując: pomimo stosunkowo niedużego udziału polskich IP w widzianych przez ARAKIS atakach, naszego państwa nie ominęła epidemia Confickera (w Internecie nie ma przecież granic). Polski Internauta jest jak najbardziej zagrożony. Nie obserwujemy także spadku liczby zainfekowanych komputerów – wręcz przeciwnie, liczba ta (choć wolniej niż przed miesiącem) stale rośnie, co widać na wykresach ruchu na porcie 445/TCP oraz w statystykach klastrów. Ruch generowany przez tego robaka jest naprawdę znaczący i – szczególnie słabszym łączom – może sprawiać trudności. Na koniec prosimy pamiętać, że sensory ARAKISa nie widzą wszystkiego. Niekoniecznie przytoczone powyżej dane muszą idealnie odzwierciedlać rzeczywistość w polskiej części Internetu, lecz ze względu na rozproszoną sieć sond jest to całkiem prawdopodobne. Wybrane dane systemu ARAKIS dostępne są publicznie na stronie www.arakis.pl.
Więcej ciekawych informacji na temat robaka Conficker można znaleźć:
Ostatnia aktualizacja: 18.12.2008 (przejdź bezpośrednio)
W sieci powszechnie dostępny jest exploit na odkrytą niedawno lukę w przeglądarce Internet Explorer 7. Wczorajsze aktualizacje Micosoft nie łatały wykorzystywanej podatności, co oznacza, że nawet całkowicie zaktualizowane komputery są podatne na potencjalny atak. Exploit wykorzystuje lukę w module obsługującym XML i przepełnia stertę (tzw. atak heap overflow). Wcześniej sprawdza typ i wersję używanej przeglądarki, a także rodzaj systemu operacyjnego.
Przepełnienie sterty wykonuje się tylko dla IE w wersji 7 działającej w systemie Windows XP lub 2003. Nie wiadomo jednak na razie, czy inne wersje przeglądarki bądź systemu Windows (np. Vista) są podatne na atak. Ciekawy jest także fakt użycia funkcji sleep, która powoduje zawieszenie wykonywania kodu javaScript na określony czas (w wersji exploita, którą zdobyliśmy, są to 3 sekundy, natomiast wiadomo, że ta wartość zmienia się). Najprawdopodobniej chciano w ten sposób niejako “ogłupić” automatyczne narzędzia wykorzystywane do zbierania i/lub analizy malware’u.
Szkodliwy kod JavaScript opublikowany został m.in. na wielu chińskich serwisach społecznościowych (głównie forach, także blogach) traktujących o (nie)bezpieczeństwie komputerowym. Potencjalnie można go wykorzystać do wykonania w atakowanym systemie dowolnego kodu (najprawdopodobniej będzie to instalacja trojana lub inne złośliwe oprogramowanie). Wprawdzie brak jest doniesień o masowym wykorzystaniu exploita, jednak może być to tylko kwestią czasu. Należy zwrócić uwagę, że w przypadku masowego ataku taki złośliwy JavaScript może być wstrzyknięty do kodu strony www, którą do tej pory uważaliśmy za bezpieczną. Na razie nie istnieją żadne łaty poprawiające błąd, ale warto pamiętać, że podatna na atak jest tylko przeglądarka Internet Explorer.
Ataki na aplikacje klienckie są coraz chętniej wykorzystywane przez cyberprzestępców, szczególnie te skierowane na przeglądarki internetowe i dodatki do nich. W celu walki z tego typu zagrożeniem powstał projekt HoneySpider Network. Związane z nim nasze klienckie honeypoty potwierdziły zagrożenie, jakie niesie ze sobą opisany wyżej exploit.
Więcej informacji:
http://www.microsoft.com/technet/security/advisory/961051.mspx
http://isc.sans.org/diary.html?storyid=5458
Jeszcze wczoraj pojawiła się w sieci wersja exploita, która działa także pod całkowicie zaktualizowanym systemem Windows Vista (zarówno z jak i bez SP1). Obie wersje złośliwego kodu (zarówno ta przeznaczona na Windowsa XP/2003 jak i na Vistę) są modyfikowane (cyberprzestępcy dostosowują je do swoich potrzeb) i najczęściej już nie sprawdzają rodzaju/wersji przeglądarki czy systemu operacyjnego, tylko próbują się wykonać za każdym razem.
Exploity ponadto są już powszechnie wykorzystywane do zarażania komputerów internautów: pojawia się coraz więcej stron www, które zawierają wyżej opisany złośliwy JavaScript. Są to głównie strony chińskie (domena .cn), do których odnośniki (URL) są wstrzykiwane w zawartość innych “legalnych” stron. Jak udało się ustalić specjalistom zajmującym się tym problemem komputery infekowane są najczęściej złośliwym oprogramowaniem wykradającym hasła do gier online. Oczywiście cyberprzestępcy mogą równie dobrze wykorzystać malware, który np. wykrada hasła do banków, numery kart kredytowych, czy zmienia komputer ofiary w członka botnetu (tzw. komputer-zombie).
Korzystając z serwisu Virustotal.com wysłaliśmy do przeskanowania przez silniki antywirusowe kilka wariantów exploita. Oto linki do wyników analiz:
Więcej informacji można znaleźć na stronach:
http://blogs.zdnet.com/security/?p=2296
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081210
Microsoft wydał patch łatający opisaną wyżej lukę (biuletyn bezpieczeństwa oznaczony numerem MS08-078). Apelujemy zatem do wszystkich użytkowników systemów Windows o jak najszybsze zaktualizowanie swojej przeglądarki Internet Explorer nawet, jeżeli nie jest ona używana do surfowania po internecie (ponieważ wiele aplikacji – jak np. Gadu-Gadu – korzysta z niej i przez to pośrednio jest podatne na ataki). Można to zrobić poprzez:
Wszystko wskazuje na to, że w sieci od ok. tygodnia na szeroką skalę propaguje się nowy robak wykorzystujący niedawno upublicznioną lukę w systemach operacyjnych z rodziny Windows (biuletyn bezpieczeństwa Microsoft numer MS08-067, o której pisaliśmy w newsie Krytyczna aktualizacja Microsoft Windows z dn. 24.10.2008). Zanim przedstawię szczegóły naszych obserwacji, chciałbym zaapelować do wszystkich, którzy jeszcze tego nie zrobili: jak najszybciej zaktualizujcie swoje Windowsy.
Robak propaguje się przez port 445/TCP, co oczywiście objawia się znaczącym wzrostem ruchu na tym porcie. Według obserwacji naszego system wczesnego ostrzegania o zagrożeniach w sieci ARAKIS wzrost ruchu jest znaczny (kilkakrotnie). Ilość przepływów rejestrowana w tzw. darknecie wynosi ok. trzynastu tysięcy w pięciominutowym oknie czasu. Poniżej wykres ruchu na porcie 445/TCP rejestrowany przez ARAKISowe sondy darknetowe.
Wzrosła również ilość unikalnych hostów, z których robak się propaguje. Jest to widoczne na wykresach honeynetowych przedstawiających ilość unikalnych adresów IP z których nastąpiło połączenie do honeypotów.
Oczywiście nie cały ruch na tym porcie jest generowany przez tego robaka. Port ten wykorzystuje do infekowania wiele robaków (m.in. słynny Sasser). Skąd więc wiadomo, że ten wzrost jest generowany przez nowego robaka, a nie np. przez Sassera? Dane przechwycone przez honeypoty pokazują, że różni się on od typowej komunikacji SMB wykorzystywanej przez inne robaki. Wprawdzie nasze niskointeraktywne honeypoty nie zdołały pozyskać kompletnego robaka, to jednak początkowa komunikacja (dokładanie negocjacja wersji protokołu) jest na tyle odmienna, że wygenerował się nowy klaster.
Klaster opisuje pierwszy etap połączenia SMB, który teoretycznie nie jest atakiem. Podobny payload może być widziany w całkiem legalnym ruchu np. w sieci lokalnej. Jednak z dwóch powodów został przez nas sklasyfikowany jako atak. Po pierwsze, połączenia były nawiązywane do adresów IP pod którymi działają honeypoty, po drugie korelując z obserwacjami i analizami innych specjalistów od bezpieczeństwa (linki do publicznych ciekawych stron znajdują się poniżej) jest wielce prawdopodobne, że jest to aktywność nowego robaka.
Propagację robaka, któremu nadano nazwę W32/Conficker.worm oraz W32.Downadup, opisuje wiele zagranicznych serwisów (m.in. REN-ISAC, ISC SANS, Symantec). Jego funkcjonalność jest już także zaimplementowana w co najmniej jednym zestawie narzędzi dla cyberprzestępców, więc nie dziwi wzrost jego wykorzystania. Infekcje mają na celu wcielenie atakowanego komputera do botnetu w celu późniejszego wykorzystaniu go do popełniania przestępstw w Internecie.
Warto zauważyć, że dostępny jest już od ponad miesiąca patch łatający podatność wykorzystywaną przez robaka. Obserwacje wskazują zatem, że wiele użytkowników systemu Windows nie zaktualizowało go. Dlatego jeszcze raz apelujemy, aby wszyscy użytkownicy tych systemów, którzy tego jeszcze nie zrobili, jak najszybciej je zaktualizowali.
Ciekawe linki związane z nowym robakiem:
