Viestintäviraston CERT-FI –tietoturvallisuusyksikkö ja tietoturvayhtiöt varoittavat Bugbear-sähköpostimadosta, josta on tullut tämän hetken laajimmalle levinnyt virus. Bugbear hyödyntää leviämisessään Windows-tiedostojakoja ja sähköpostiviestien liitetiedostojen avaukseen houkuttelevia viestisisältöjä
Mato-ohjelma etsii tietokoneesta sähköpostiosoitteita, joille lähetetään viesti varustettuna liitetiedostolla, joka sisältää viruskoodin. Viestin otsikko ja tekstisisältö vaihtelee huomattavasti.
Virus voi aktivoitua vastaanottajan järjestelmässä viestiä avattaessa tai esikatselutilassa automaattisesti, jos sähköpostiviestien lukemiseen käytetään haavoittuvia ohjelmistoversioita.
Haavoittuvuudelle alttiit järjestelmät:
- Microsoft Windows -käyttöjärjestelmät
- Levyjakojen kautta tapahtuva leviäminen edellyttää Windows-käyttöympäristöä jossa levyjaot on aktivoitu
- Viestin avaamisen / esikatselun yhteydessä tapahtuva liitetiedoston suorittaminen edellyttää haavoittuvia selainversioita
Ratkaisu:
- Älä avaa sähköpostiviestien liitetiedostoja ilman virustarkistusta
- Päivitä tietojärjestelmä Microsoft -turvatiedotteen MS01-020 mukaisesti
- Poista tarpeettomat Windows-levyjaot pois käytöstä
- Suojaa tietojärjestelmä ajantasaisella päivittyvällä virustietokannalla varustetulla virustorjuntaohjelmistolla
- Huolehdi tietojärjestelmän verkkoyhteyksien asianmukaisesta suojauksesta joko verkkokohtaisella tai järjestelmäkohtaisella palomuuriratkaisulla
Lisätietoja:
Bugbear tekee runsaasti erilaista vahinkoa
Bugbear on Windows-pohjainen massapostimato, joka leviää saastuneitten sähköpostiliitteiden mukana. Se leviää myös avoimien Windows -tiedostojakojen kautta. Oheistoimintona mato saattaa tulostaa valtavan määrän roskatekstiä verkkotulostimiin.
Ensivaiheessa mato poimii saastuneelta koneelta vanhoja sähköpostiviestejä, ja välittää niitä eteenpäin satunnaisesti valitsemiinsa osoitteisiin. Näin yksityiset tai luottamukselliset sähköpostiviestit voivat välittyä kolmansille osapuolille.
"Vanhojen sähköpostien edelleenvälitys on oikeastaan ns. social engineering –temppu. Tällaisen viestin vastaanottaja on luultavasti hyvin hämmentynyt, kun ei ymmärrä viestin sisältöä, ja näin ollen mitä todennäköisimmin avaa sen mukana tulevan liitteen saadakseen sisältöön lisäselvyyttä. Sen jälkeen kone on saastunut", sanoo Mikko Hyppönen, F-Securen tutkimuspäällikkö.
Jotkut Bugbearin lähettämät sähköpostit käyttävät IFRAME-haavoittuvuutta. Tämä tarkoittaa sitä, että Windows-järjestelmässä, jonka tietoturva-aukkoja ei ole paikattu, mato aktivoituu automaattisesti, kun vain viesti luetaan tai avataan.
Joissain tapauksissa mato väärentää lähettäjän sähköpostiosoitteen niin, että viaton ulkopuolinen näyttäisi olevan sen lähettäjä. Tämä piirre luo yhä enemmän hämmennystä, ja tekee myös saastuneitten järjestelmien käyttäjien varoittamisen vaikeammaksi.
Mato yrittää myös estää erilaisten virustentorjunta- ja palomuuriohjelmien toiminnan. Mato pystyy hyökkäämään ohjelmia vastaan ainoastaan silloin, jos se on aktivoitunut. Päivitetty virustentorjuntaohjelma taas estää aktivoitumisen.
"Kun mato on jo nyt näin laajasti levinnyt, tarkoittaa se sitä, että useat tuhannet koneet ovat edelleen verkossa ilman minkäänlaista virustorjunta- tai palomuuriohjelmaa Bugbearin poistettua ne", Mikko Hyppönen jatkaa.
Mato leviää tehokkaasti yritysverkossa, sen jälkeen kun yksi kone on saastunut. Mato etsii verkosta tiedostojakoja, ja yrittää kopioida itsensä niihin. Windows -koneissa joiden kovalevyn jakaa useampi käyttäjä, mato yrittää kopioitua Startup -kansioon aktivoituakseen konetta uudelleen käynnistettäessä. Mato yrittää myös kopioida itsensä kaikentyyppisiin jaettuihin verkkolähteisiin; myös tulostimiin.
Mato asentaa takaportin kaikkiin saastuneisiin järjestelmiin, jolloin viruksen kirjoittaja tai muu hyökkääjä voi käyttää takaovea hyväkseen ja ottaa yhteyden saastuneeseen koneeseen www-selaimen avulla. Mato tuo ruudulle graafisen käyttöliittymän jonka avulla hyökkääjä voi selailla paikallisia dokumentteja tai suorittaa ohjelmia.
"Emme ole aikaisemmin nähneet madossa näin edistynyttä takaovea. Onneksi tällaisen kirjoittaminen ei suju keneltä tahansa bittinikkarilta”, Mikko Hyppönen huomauttaa.
Bugbear on tämän hetken ykköstuholainen
Bugbear-sähköpostimato (tunnetaan myös nimellä Tanatos) havaittiin ensimmäisen kerran maanantaina, 30. syyskuuta. Sen jälkeen mato on löydetty useista kymmenistä maista ympäri maailmaa, ja se jatkaa leviämistään jatkuvasti kasvavalla nopeudella.
Tämänhetkisten tilastojen mukaan Bugbear on jo ohittanut Klez-madon tämän hetken yleisimpänä viruksena. Klez on ollut laajimmin liikkeellä oleva virus melkein koko 2002 vuoden ajan.
"Virusten suhteen tämä vuosi on ollut harvinaisen hiljainen syyskuun puoleenväliin saakka. Sen jälkeen meillä on ollut useita laajalle levinneitä tapauksia kuten Linuxille Slapper ja Devnull, sekä Windowsille Opaserv ja Bugbear", sanoo Hyppönen.
Vuotta 2001 pidetään yleisesti kaikkien aikojen pahimpana virusvuotena.
"Vuoden 2002 aikana Klez-virus on ollut monen kuukauden ajan yleisin liikkeellä oleva virus. Koska Bugbear on hyvin Klezin kaltainen, voidaan olettaa että Bugbear on liikkeellä vielä ensi vuonnakin", arvioi Hyppönen.