"Računalniška industrija je pričakovala, da se bo po Microsoftovi objavi popravka napake RPC/DCOM 16. julija hitro pojavil črv, ki bo to napako izkoristil ", je povedal Mikko Hypponen, vodja protivirusnih raziskav pri podjetju F-Secure. "In sedaj je tu ".
Prvi vzorec črva so raziskovalci podjetja F-Secure prejeli okoli osme ure zvečer 11. avgusta 2003. Črv se širi v datoteki dolžine 6176 znakov imenovani MSBLAST.EXE na Windows 2000 in Windows XP računalnike, če le-ti nimajo nameščenih najnovejših popravkov varnostnih napak.
Črv zatem poizkusi okužiti ostale računalnike v lokalnem omrežju in na internetu.
Črv Lovsan vsebuje besedila:
I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!
"Črv je tudi napadalen", opozarja Hypponen. 16. avgusta bo pričel z napadanjem in onemogočanjem spletnega naslova windowsupdate.com . "Če se širjenje ne bo upočasnilo, lahko napad onemogoči storitev Windows Update ".
VPRAŠANJA IN ODGOVORI O ČRVU LOVSAN
V: Zakaj je ta črv nekaj posebnega?
O: Črv se širi preko napake MS03-026 DCOM/RPC, ki je trenutno ena najbolj razširjenih varnostnih napak na svetu.
V: Kdaj je bil odkrit?
O: Prvi vzorec je F-Secure Virus Research Labs prejel 11. avgusta 2003 ob 20:22 GMT.
V: Kako se širi?
O: Če se nezaščiten računalnik poveže v internet, ga črv preko TCP porta 135 okuži.
V: Kateri Windows operacijski sistemi so ranljivi?
O: Predvsem Windows 2000 in Windows XP. Trenutno ni potrjeno, da bi črv ogrožal tudi Windows NT 4 in Windows 2003.
V: Ali je Microsoft že objavil popravek napake?
O: Da, na naslovu http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
V: Koliko računalnikov lahko okuži?
O: Potencialno ogroženih je več milijonov računalnikov. Črv Slammer, ki je napadal samo SQL strežnike, je napadel 100,000 strežnikov. Črv Code Red, ki je napadal IIS strežnike, je napadel 2 milijona računalnikov. Potrebno pa je upoštevati, da se veliko računalnikov nahaja za požarnimi zidovi, kar onemogoči izkoriščanje napake RPC.
V: Ali lahko okuži tudi uporabnike za požarnim zidom?
O: Obstaja več možnosti, če se naprimer uporabniki lokalnega omrežja povezujejo tudi mimo požarnega zidu preko modema ali WLAN. Ali pa naprimer uporabnik, ki se je okužil doma, prinese prenosni računalnik v službo, in ga poveže v omrežje.
V: Ali pričakujete več verzij tega črva?
O: Da, ko se pojavi črv, ki je uspešen, se kmalu pojavijo nove verzije.
V: Kakšna je vsebina sporočil, ki jih črv pošilja?
O: Ne gre za črva, ki bi se širil preko elektronske pošte.
V: Ali je to črv 'Warhol'?
O: Ne. Nima vnaprej pripravljenega seznama in se ne širi tako hitro kot se je širil črv Slammer.
V: Ali poškoduje okužene računalnike?
O: Ne. Vendar bo 16. avgusta poizkusil onemogočiti naslov windowsupdate.com, kar ima lahko za posledico oteženo nameščanje popravkov Microsoftovih programov.
V: Od kje izvira črv?
O: Tega podatka nimamo.
Daljši tehnični opis in slike so na naslovu:
http://www.f-secure.si/
