Quella vulnerabilità più iniziale è emerso l'8 agosto, in mezzo del rilascio del Microsoft dei bollettini di dozzina sicurezze. Questi MS06-040 inclusi, che hanno rattoppato una vulnerabilità critica nel servizio dell'assistente del Windows. Quando, gli analisti di sicurezza hanno avvertito che l'insetto potrebbe essere sfruttato da una vite senza fine d'attacco, ala MSBlast. Anche se parecchie imprese sono comparso, il loro effetto era secondario.
Il giovedì, sia Symantec che i SANS hanno istituito il centro della tempesta del Internet avvisato utenti che avevano rilevato un aumento significativo universalmente nell'attività su orificio 139, uno dei due orificii quale un'impresa contro la vulnerabilità MS06-040 userebbe attacare i sistemi.
Il centro della tempesta del Internet (ISC) ha macchiato un punto importante nell'attività dell'orificio 139 che comincia domenica, il 27 ago., mentre la rete del sensore dello Symantec ha registrato i grandi aumenti il sia martedì, il 29 ago. che mercoledì,. Secondo Symantec, i sistemi che attacano l'orificio 139 inoltre sono stati coinvolti negli attacchi ad orificio 445, gli altri attackers probabili dell'itinerario che sfruttano il servizio dell'assistente userebbero.
"Ci potrebbero essere parecchie possibilità per questa,„ ha detto Lorna Hutcheson, un analista con l'ISC, in una nota in linea. Ma ha scontato i bots più in anticipo che avevano circolato presto dopo che MS06-040 fosse liberato. "Entrambi sono stati riconosciuti il 14 agosto, in modo da sono state intorno per un whileand che questa espansione ha iniziato appena l'eccedenza le coppie passate dei giorni,„ Hutcheson hanno scritto. Generalmente, un salto nell'attività contro uno o più degli orificii del Windows significa che i attackers stanno esplorando il Internet per i sistemi vulnerabili.
L'analisi dello Symantec era più specifica nelle cause possibili di incavigliamento per il uptick nell'attività dell'orificio 139.
"Una nuova variante di W32.Spybot.AKNO chiamato Spybot è stata propagarsi scoperto nel selvaggio,„ Symantec detto in un avvertimento pubblicato giovedì in anticipo agli utenti del relativo servizio dell'amministrazione di minaccia di DeepSight. Il BOT -- ha progettato infiltrarsi in un sistema, allora trasferiscono il codice dal sistema centrale verso i satelliti cattivo supplementare per dirottare il calcolatore in modo da può essere usato come zombie dello Spam o per altre attività criminali -- inoltre contiene un componente del rootkit, Symantec aggiunto. Un rootkit è codice a che cloaks una vite senza fine o un BOT per renderlo più duro per il software del anti-virus sia rilevare che cancellare il malware.
"Quello Spybot ha selezionato questo su un'impresa MS06-040 non sta sorpresendo,„ ha detto David Cole, il direttore della squadra di risposta di sicurezza dello Symantec. "Spybot è uno dei bots più prevalenti fuori là. Che cosa è interessante è che inoltre ha gettato nelle possibilità del rootkit.„
Symantec inoltre ha detto che aveva ricevuto i rapporti di una vite senza fine nel selvaggio che stava usando la vulnerabilità MS06-040 per attacare Windows NT corrente 4.0 dei pc. Al massimo una lista spedente di sicurezza di rilevazione inviata rapporto iniziale era "estremamente vaga,„ ha detto Symantec, che ha non potuto raggiungere il ricercatore che ha segnalato la vite senza fine ed in modo da non ha codice del campione da esaminare. Altri ricercatori che scrivono alla Pieno-Rilevazione hanno notato che il codice cattivo inoltre attaca con successo i sistemi del Windows 2000.
Il nuovo Spybot e l'attacco contro le macchine di Windows NT sembrano essere separati, Symantec detto. Ha schierato i sistemi del POT del miele nelle speranze di raccolta del campione di nuova vite senza fine del NT.
Gli utenti di Windows NT sono particolarmente vulnerabili all'attacco, Cole aggiunto, poiché il sistema operativo invecchiato è stato caduto dalla lista di sostegno del Microsoft; il Redmond, sviluppatore de washington ha smesso di pubblicare le difficoltà di sicurezza per il NT l'ultimo giorno di 2004.
"Ha stato attività molto che sfrutta la vulnerabilità MS06-040,„ ha detto Cole. "Randex, Stration, un certo numero di minacce. Un'impresa è liberata una volta, tutto rimescola per includerla.„
Dal riscontro dello Symantec, sei bots conosciuti leveraging l'impresa MS06-040. Quello era abbastanza per il Cupertino, azienda di sicurezza della California per spingere il relativo posto di condizione di sicurezza di ThreatCon "da 1„ "a 2„ il giovedì.
"È una cosa cumulativa,„ ha detto Cole, riconoscente che nessun'impresa ha causato all'azienda ad alto il relativo livello attento. "L'aumento negli angoli di infezione e nell'attività sulle esposizioni degli orificii 139 e 445 è un problema attraverso il bordo.„
Sia Symantec che l'ISC hanno invitato gli utenti a rattoppare i loro sistemi con la difficoltà pubblicata con MS06-040. Se rattoppare non è possibile -- o uno non è semplicemente disponibile, come è il caso per gli utenti di Windows NT -- gli utenti dovrebbero filtrare o ostruire gli orificii 139 e 445, l'accoppiamento di TCP raccomandato.
