Esa vulnerabilidad anterior salió a luz el 8 de agosto, en medio del lanzamiento de Microsoft de los boletines de las docena seguridades. Estos MS06-040 incluidos, que remendaron una vulnerabilidad crítica en el servicio del servidor de Windows. Cuando, los analistas de seguridad advirtieron que el insecto pudiera ser explotado por un gusano red-que atacaba, ala MSBlast. Aunque aparecieron varias hazañas, su impacto era de menor importancia.
El jueves, Symantec y los SANS instituyeron el centro de la tormenta del Internet alertado los usuarios que habían detectado un aumento significativo por todo el mundo en actividad en el puerto 139, uno de los dos puertos cuál una hazaña contra la vulnerabilidad MS06-040 utilizaría atacar sistemas.
El centro de la tormenta del Internet (ISC) manchó un punto importante en la actividad del puerto 139 que comenzaba domingo, el 27 Ago, mientras que la red del sensor de Symantec registró aumentos grandes el martes, el 29 Ago y miércoles, 30 Ago. Según Symantec, los sistemas que atacaban el puerto 139 también estuvieron implicados en ataques contra el puerto 445, los otros atacantes probables de la ruta que explotaban el servicio del servidor utilizarían.
"Podría haber varias posibilidades de esto," dijo a Lorna Hutcheson, analista con el ISC, en una nota en línea. Pero ella descontó bots anteriores que habían circulado pronto después de que MS06-040 fuera lanzado. "Ambos fueron reconocidos el 14 de agosto, así que han estado alrededor para un whileand que esta mejora acaba de comenzar el excedente los últimos pares de días," Hutcheson escribieron. Generalmente, un salto en actividad contra uno o más de los puertos de Windows significa que los atacantes están explorando el Internet para los sistemas vulnerables.
El análisis de Symantec era más específico en las causas posibles de la puesta de clavijas para el uptick en actividad del puerto 139.
"Una nueva variante de W32.Spybot.AKNO nombrado Spybot ha sido el propagar descubierto en el salvaje," Symantec dicho en una advertencia publicada jueves temprano a los usuarios de su servicio de la gerencia de la amenaza de DeepSight. El BOT -- diseñó infiltrar un sistema, después descargan código malévolo adicional para secuestrar la computadora así que puede ser utilizada como zombi del Spam o para otras actividades criminales -- también contiene un componente del rootkit, Symantec agregado. Un rootkit es el código a el cual disimula un gusano o un BOT para hacerlo más duro para el software del contra-virus detectar y suprimir el malware.
"Ese Spybot escogió esto encima de una hazaña MS06-040 no está sorprendiendo," dijo David Cole, el director del equipo de la respuesta de la seguridad de Symantec. "Spybot es uno de los bots más frecuentes hacia fuera allí. Cuál es interesante es que también lanzó en capacidades del rootkit."
Symantec también dijo que había recibido informes de un gusano en el salvaje que utilizaba la vulnerabilidad MS06-040 para atacar Windows NT corriente 4.0 de las PC. Al máximo una lista que enviaba fijada informe inicial de la seguridad del acceso era "extremadamente vaga," dijo Symantec, que ha no podido alcanzar al investigador que divulgó el gusano, y así que no tiene ningún código de la muestra a examinar. Otros investigadores que escribían al Lleno-Acceso observaron que el código malévolo también ataca con éxito sistemas del Windows 2000.
El Spybot nuevo y el ataque contra las máquinas de Windows NT se parecen ser separados, Symantec dicho. Ha desplegado sistemas del pote de la miel en las esperanzas de recoger una muestra del gusano nuevo del NT.
Los usuarios de Windows NT son particularmente vulnerables al ataque, Cole agregado, puesto que el sistema operativo envejecido se ha caído de la lista de la ayuda de Microsoft; el Redmond, revelador del Washington paró el publicar de los arreglos de la seguridad para el NT en el día pasado de 2004.
"Tiene sido muchos de actividad que explotan la vulnerabilidad MS06-040," dijo a Cole. "Randex, Stration, un número de amenazas. Una hazaña se lanza una vez, cada uno revuelve para incluirlo."
Por la cuenta de Symantec, seis bots sabidos leveraging la hazaña MS06-040. Ése era bastante para el Cupertino, compañía de seguridad de la California para empujar su graduación del estado de la seguridad de ThreatCon de "1" a "2" el jueves.
"Es una cosa acumulativa," dijo a Cole, reconociendo que ninguna hazaña causó a compañía a ascendente su nivel alerta. "El aumento en ángulos de la infección y la actividad en demostraciones del puerto 139 y 445 es un problema a través del tablero."
Symantec y el ISC impulsaron a usuarios remendar sus sistemas con el arreglo publicado con MS06-040. Si el remendar no es posible -- o uno no está simplemente disponible, al igual que el caso para los usuarios de Windows NT -- los usuarios deben filtrar o bloquear los puertos 139 y 445, el par del TCP aconsejado.