Het Computer Emergency Readiness Team (US-CERT) van de Amerikaanse overheid heeft een waarschuwing afgegeven voor een SMB (Server Message Block)-worm die tegen Sony is ingezet. De worm gebruikt brute force-authenticatie om zich via gedeelde Windows SMB-shares te verspreiden.
Elke vijf minuten maakt de malware verbinding met de commandoserver van de aanvallers om gegevens terug te sturen als het succesvol een andere Windowscomputer via SMB-poort 445 heeft geïnfecteerd. De tool luistert ook naar verbindingen op TCP-poort 195 en TCP-poort 444. Verder beschikt de worm over een backdoor waarmee het mogelijk is om bestanden te downloaden en opdrachten uit te voeren. Zo kan de worm via universal Plug and Play (UPNP) poorten in de firewall openzetten om routers, gateways en port-mappings te ontdekken.
Zodoende is het mogelijk om op aangevallen computers die zich achter een NAT (Network Address Translated)-netwerk bevinden inkomende verbindingen toe te staan. Het onderdeel van de worm dat het meest opvalt is de "wisfunctie", die de Master Boot Record van de harde schijf overschrijft en zo het systeem onbruikbaar maakt. Deze wisfunctie wordt ook gebruikt tegen systemen die via gedeelde netwerkmappen toegankelijk zijn. De malware probeert op deze computers in te loggen via een aantal gebruikersnamen en wachtwoorden die van tevoren door de aanvallers zijn opgegeven.
Het US-CERT waarschuwt dat organisaties die met deze malware te maken krijgen rekening moeten houden met de diefstal van intellectueel eigendom en de verstoring van kritieke systemen. Als oplossing krijgen systeembeheerders het advies om virusscanners te gebruiken en die up-to-date te houden, besturingssystemen en software up-to-date te houden, "defense in depth" strategieën toe te passen en een plan op te stellen om met vernietigende malware om te gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.