תולעת מחשבים מסוכנת החלה להתפשט
מקרים רבים של הדבקות מחשבים דווחו הלילה בארה"ב, גרמניה, ברזיל ואסיה. בשעות האחרונות התקבלו דיווחים על הדבקות גם בישראל. התופעה הבולטת ביותר במחשבים הנגועים: הפעלה מחדש של המחשב החוזרת על עצמה פעם אחר פעם. יש גם פתרון למחשבים נגועים
תולעת מחשבים מסוכנת החלה להתפשט ברשת הלילה. אתר ה-CNN דיווח כי התולעת תקפה תחילה את הרשת הארגונית של חברת החדשות, כמו גם את הרשתות של ABC, ניו יורק טיימס ובגבעת הקפיטול בוושינגטון. לא ידוע אם מדובר במתקפה מכוונת. "מקאפי" העניקה לתולעת רמת סיכון "גבוהה", ואילו סימנטק נתנה לה שלושה כוכבים מתוך חמישה. יש לציין כי למעלה משנה לא התקבלה התרעה על תולעת ברמת סיכון גבוהה מאוד.
מקרים רבים של הדבקות מחשבים דווחו הלילה בארה"ב, גרמניה, ברזיל ואסיה. ככל הנראה, הבעיות נגרמות מגירסה חדשה אחת או יותר של התולעת Zotob עליה דיווחנו שלשום. גם התולעים החדשות, המכונות Zotob.E, ZOTOB.D או worm-rbot.cbq, מתפשטת באמצעות ניצול כשל האבטחה במנגנון Plug And Play של Windows, שתואר בעדכון האבטחה MS05-039, ומפיצה עצמה דרך פורט TCP 445 במחשבים לא מוגנים. לא ידוע מה סדר הגודל התפוצה של התולעת וכמה מחשבים נפגעו. על פי נתוני מיקרוסופט, כ-200 מיליון מחשבים כבר הורידו את עדכון האבטחה הנדרש.
לפגיעת התולעת חשופים בעיקר מחשבים ברשתות ארגוניות אשר מנהלי המערכות שלהן לא התקינו את עדכוני האבטחה הנדרשים. במקרים כאלה, התולעת עשויה להדביק רשתות ארגוניות תוך שניות. בשעות האחרונות התקבלו דיווחים על הדבקות גם בישראל. ל-ynet נודע כי ספקי האינטרנט שוקלים לחסום זמנית את פורט TCP 445 על מנת להאט את התפשטות התולעת, כפי שנעשה במקרים דומים בעבר.
איך מתפשטת התולעת
על פי מכון האבטחה SANS, למרות שהתולעת תוקפת בעיקר מערכות עם Windows 2000, היא עשויה לפגוע גם בגירסאות של Windows XP ללא עדכוני אבטחה. התולעת יכולה להתפשט (אך לא להדביק) באמצעות מחשבים המפעילים Windows 98, Me, NT4.
בתחילה, התולעת סורקת את הרשת בחיפוש אחר מחשבים עם פירצת האבטחה בשירות Plug and Play. היא מנסה להתחבר לפורט TCP 445 במחשבים אלה ובמקרה של הצלחה, היא יוצרת קשר FTP למחשב ממנו התפשטה ומורידה ממנו קוד זדוני נוסף.
עם הפעלתה, התולעת מעתיקה עצמה לתיקיה System במחשב בשם WINTBP.EXE ומוסיפה עצמה למפתחות הרישום של Windows. נוסף על כך, התולעת פותחת ערוץ IRC, המאפשרת לתוקף זדוני לשלוט בה מרחוק ולהוריד באמצעותה עדכונים נוספים אל המחשב, לשלוף מידע על המערכת, להוריד ולהפעיל קבצים על המחשב, ולשנות את הגדרות האבטחה של המערכת.
כך, מפעילי התולעת יכולים לגייס לעצמם צבא של מחשבים הנתונים לשליטתם ('זומבים') וביום פקודה להשתמש בהם למטרות שונות - כמו הפצת דואר זבל, התקפת שלילת שירות מבוזרת על אתר מסוים ועוד. צבא הזומבים נשלט בצורה מרכזית מארבעה שרתים ברחבי העולם. מרכז האבטחה הממשלתי CERT ישראל פועל בשעות אלה בשיתוף עם גורמים בינלאומיים להורדת שרתים אלה מהאוויר, כמו גם להפצת מידע בין ספקי שירות האינטרנט הישראלים כדי שיוכלו לתאם את פעילותם כנגד
התולעת.
התופעה הבולטת ביותר במחשבים הנגועים בגירסאות החדשות של התולעת היא ביצוע הפעלה מחדש של המחשב החוזרת על עצמה פעם אחר פעם.
משתמשי Windows אשר הורידו את עדכוני האבטחה הקריטיים משירות Windows Update, ומשתמשים בפיירוול ותוכנת אנטי וירוס עדכנית מוגנים מפני ההתקפה.
פתרון מהיר למחשבים נגועים
חברת סימנטק הפיצה כלי להסרת הווירוס המיועד למשתמשים החושדים כי מחשבם נגוע. ניתן להוריד את הכלי חינם. חברת מקאפי מציעה להורדה כלי משלה.
קיצור הזמן בין העדכון לניצולו לרעה
בשנה האחרונה חוזרים ואומרים מומחי אבטחת מידע כי מירב החולשות המפותחות כיום הן תוצאה ישירה של הנדסה לאחור (Reverse Engineering) של עדכונים (Patches) המופצים במקור לעדכון מוצרים שונים, כהגנה מפני חולשות האבטחה.
הזמן בין שחרור הטלאי לפרסום קוד המקור לניצול החולשה התקצר בחודשים האחרונים. ההתקפות של תולעי Zotob, המשתייכות למשפחת MyTob, הן עדות נוספת לקיצור הטווח בין גילוי פרצות אבטחה ועדכונן, לבין הפצה של קודים זדוניים (malware) המנצלים את כשלי אבטחה אלה במטרה לפגוע בכל המשתמשים שלא התקינו את העדכון הדרוש. במקרה האחרון, התולעת החלה להתפשט שעות ספורות לאחר פרסום כשל האבטחה.
