MS060-40 kaže zobe

Odvija se prvi val napadov, ki izkoriščajo napako MS060-40. To napako vsebujejo nezakrpani operacijski sistemi Windows 2000, XP SP1/SP2, Windows XP x64 in Windows Server 2003, omogoča pa prekoračitev medpomnilnika in oddaljeno izvajanje kode na napadenem računalniku.

Glede na do sedaj zbrane podatke se na napaden računalnik namesti trojanski konj, ki spremeni varnostne nastavitve sistema in se poveže na IRC server, kjer čaka na nadaljne ukaze. Pri Microsoftu pravijo, da je zaenkrat napad zelo usmerjen, saj se večinoma cilja na nepokrpane Win2000 sisteme in (še) ne vsebuje mehanizma za avtomatično razširjanje. V napadu se uporablja prilagojena različica Mocbot trojanskega konja. V zadnjih dnevih se je pojavila nova različica, ki se skriva v datoteki wgareg.exe, ob namestitvi pa zažene proces Windows Genuine Advantage Registration Service. Podrobnosti o napaki in napadu lahko najdete tudi na blogu Microsoft Security Response centra.