Cette vulnérabilité plus tôt a émergé le 8 août, parmi le dégagement de Microsoft des douzaine des bulletins sécurités. Ces MS06-040 inclus, qui ont raccordé une vulnérabilité critique dans le service du serveur de Windows. Lorsque, les analystes de valeurs mobilières ont averti que le bogue pourrait être exploité par un ver réseau-attaquant, aile du nez MSBlast. Bien que plusieurs exploits soient apparues, leur impact était mineur.
Le jeudi, Symantec et l'Internet de l'institut de SANS donnent l'assaut à le centre alerté des utilisateurs qu'ils avaient détecté dans le monde entier une augmentation significative d'activité sur le port 139, un des deux ports ce qui une exploit contre la vulnérabilité MS06-040 emploierait pour attaquer des systèmes.
L'Internet donnent l'assaut à le centre (ISC) a repèré une transitoire importante dans l'activité du port 139 commençant dimanche, 27 aoû., alors que le réseau de la sonde de Symantec enregistrait de grandes augmentations mardi, le 29 aoû. et mercredi,. Selon Symantec, les systèmes attaquant le port 139 ont été également impliqués dans les attaques sur le port 445, les autres attaquants probables d'itinéraire exploitant le service de serveur emploieraient.
« Il pourrait y avoir plusieurs possibilités pour ceci, » a dit Lorna Hutcheson, un analyste avec l'ISC, dans une note en ligne. Mais elle a escompté des bots plus tôt qui avaient circulé peu après que MS06-040 ait été libéré. « Tous les deux ont été identifiés le 14 août, ainsi elles ont été autour pour un whileand que cette amélioration a juste commencé l'excédent les couples passés des jours, » Hutcheson ont écrit. Généralement, un saut dans l'activité contre un ou plusieurs des ports de Windows signifie que les attaquants balayent l'Internet pour les systèmes vulnérables.
L'analyse de Symantec était plus spécifique dans des causes possibles de chevillage pour la transaction boursière à un prix plus élevé dans l'activité du port 139.
« Une nouvelle variante de W32.Spybot.AKNO appelé par Spybot a été propagation découverte dans le sauvage, » Symantec dit dans un avertissement publié jeudi tôt aux utilisateurs de son service de gestion de menace de DeepSight. Le BOT -- a conçu pour infiltrer un système, puis télécharge le code malveillant additionnel pour détourner l'ordinateur ainsi il peut être employé en tant que zombi de Spam ou pour d'autres activités criminelles -- contient également un composant de rootkit, Symantec supplémentaire. Un rootkit est le code au lequel masque un ver ou un BOT pour le rendre plus dur pour le logiciel d'anti-virus pour détecter et supprimer le malware.
« Ce Spybot a sélectionné ceci vers le haut d'une exploit MS06-040 n'étonne pas, » a dit David Cole, directeur de l'équipe de réponse de la sécurité de Symantec. « Spybot est l'un des bots les plus répandus dehors là. Ce qui est intéressant est qu'il a également jeté dans des possibilités de rootkit. »
Symantec a également indiqué qu'il avait reçu des rapports d'un ver dans le sauvage qui employait la vulnérabilité MS06-040 pour attaquer Windows NT courant 4.0 de PCs. Entièrement une liste de expédition de sécurité de révélation signalée premier par rapport était « extrêmement vague, » a dit Symantec, qui a ne pu pas atteindre le chercheur qui a rapporté le ver, et ainsi n'a aucun code d'échantillon à examiner. D'autres chercheurs écrivant à la Plein-Révélation ont noté que le code malveillant attaque également avec succès des systèmes de Windows 2000.
Le nouveau Spybot et l'attaque contre des machines de Windows NT semblent être séparés, Symantec dit. Il a déployé des systèmes de pot de miel dans les espoirs de rassembler un échantillon du nouveau ver de NT.
Les utilisateurs de Windows NT sont particulièrement vulnérables à l'attaque, Cole supplémentaire, puisque le logiciel d'exploitation âgé a été lâché de la liste de soutien de Microsoft ; le Redmond, réalisateur de Washington a cessé de publier des difficultés de sécurité pour le NT le dernier jour de 2004.
« Il a y a beaucoup d'activité exploitant la vulnérabilité MS06-040, » a dit Cole. « Randex, Stration, un certain nombre de menaces. Une fois une exploit est libérée, chacun brouille pour l'inclure. »
Par le contrôle de Symantec's, six bots connus accroissent l'exploit MS06-040. C'était assez pour le Cupertino, société de valeurs mobilières de la Californie pour pousser son rang de statut de sécurité de ThreatCon de « 1 » à « 2 » jeudi.
« C'est une chose cumulative, » a dit Cole, reconnaissant qu'aucune exploit n'a causé à la compagnie à haut son niveau alerte. « L'augmentation des angles d'infection et de l'activité sur des expositions du port 139 et 445 c'est un problème d'un bout de l'affaire à l'autre. »
Symantec et l'ISC ont invité des utilisateurs à raccorder leurs systèmes avec la difficulté publiée avec MS06-040. Si le raccordement n'est pas possible -- ou on n'est simplement pas disponible, de même que le cas pour des utilisateurs de Windows NT -- les utilisateurs devraient filtrer ou bloquer les ports 139 et 445, la paire de TCP conseillée.
Verbrecher scharen sich zum Internet, �bersicht Entdeckungen