Vendor keamanan telah melaporkan beberapa varian baru dari worm yang menginfeksi PC yang menjalankan sistem operasi Windows 2000 milik Microsoft Corp. Sekelompok penulis virus bersaing untuk menyebabkan kerusakan paling parah, menurut salah satu perusahaan keamanan, meskipun worm tersebut tampaknya tidak separah yang ditakuti beberapa orang.
F-Secure Corp. mengatakan pada hari Rabu bahwa mereka telah mengidentifikasi tiga "keluarga" cacing - Zotob, Bozori dan Ircbot - semuanya berasal dari kerentanan yang dilaporkan pada 1 Agustus. 9 dalam perangkat lunak Plug and Play Microsoft Windows 2000. Cacing tersebut akan menyebabkan sistem yang terinfeksi untuk terus melakukan reboot, kata vendor antivirus.
Perusahaan keamanan Finlandia telah melihat 11 varian worm secara keseluruhan, termasuk empat yang muncul Rabu pagi di Eropa, kata Mikko Hypponen, kepala peneliti F-Secure.
Tingkat kerusakannya sulit diukur, katanya, tetapi worm itu tampaknya tidak seserius Sasser. atau Blaster worm beberapa tahun terakhir, sebagian karena tidak mempengaruhi operasi Windows XP yang lebih banyak digunakan sistem.
Namun, itu adalah wabah virus terburuk sepanjang tahun ini, kata Hypponen. Sebuah "botwar" tampaknya telah pecah di mana tiga "geng" pembuat virus bersaing untuk membuat varian worm yang menyebabkan kerusakan paling parah, katanya. Varian terbaru dari worm Bozori bahkan menghapus virus “pesaing” dari mesin pengguna, menurut F-Secure.
Cacing hanya mempengaruhi komputer Windows 2000, Microsoft dan vendor antivirus mengatakan. Microsoft merilis tambalan untuk kerentanan Plug and Play (MS05-039) pada 1 Agustus. 9, tetapi pengguna rumahan terkenal lambat untuk menambal mesin mereka, dan beberapa bisnis enggan melakukannya karena takut "merusak" aplikasi khusus, kata pakar keamanan.
Pada hari Selasa, Microsoft membantah laporan bahwa ada virus baru yang muncul, dengan mengatakan semua worm adalah varian dari Zotob. Itu terus menilai masalah itu sebagai "ancaman rendah bagi pelanggan," dan mengatakan hanya melihat tingkat infeksi yang rendah. Tetap saja, itu memberi peringkat cacat asli dalam perangkat lunaknya sebagai "kritis".
Namun, tim respons antivirus McAfee Inc. menaikkan penilaian risikonya menjadi "tinggi" untuk satu varian worm IRCBot. Selasa malam dikatakan telah menerima lebih dari 150 laporan tentang worm yang dihentikan atau menginfeksi PC pengguna, sebagian besar di AS tetapi juga dari Eropa dan Asia.
Trend Micro Inc. menerima laporan infeksi dari tiga pelanggan korporat, yang dianggap tingkat rendah, kata juru bicara perusahaan di Tokyo, Rabu. Tidak ada laporan dari perusahaan besar, katanya.
Outlet media termasuk yang paling terpukul oleh worm, termasuk jaringan berita CNN Time Warner Inc., The New York Times Co. dan jaringan televisi ABC, sebuah unit dari The Walt Disney Co., menurut sebuah laporan di Wall Street Journal hari Rabu koran.
Ini mungkin karena salah satu variannya yaitu Zotob. C, dapat menyamar sebagai file gambar, saran Alan Paller, direktur Riset di The SANS Institute.
“Jika orang yang terinfeksi awal memiliki daftar email dengan reporter di semua layanan berita utama, itu akan memulai kaskade. Organisasi berita tidak memiliki batasan lampiran email yang radikal (seperti aturan yang melarang semua lampiran gambar) karena mereka mendapatkan gambar yang sah, ”tulis Paller dalam email.
Cacing IRCBot pertama kali muncul tujuh hari setelah kerentanan Microsoft pertama kali dilaporkan, menandai waktu tercepat untuk membuat eksploitasi massal, kata McAfee. Eksploitasi massal pertama yang berhasil untuk worm Sasser membutuhkan waktu dua minggu untuk muncul, kata perusahaan itu.
Infeksi terus dilaporkan di organisasi besar, terutama di AS, kata F-Secure. Ini kemungkinan besar berasal dari laptop yang dibawa di dalam firewall perimeter organisasi, katanya.
Worm mereplikasi dengan memindai mesin di port 445/TCP dan, ketika korban ditemukan, gunakan kode eksploit untuk mengunduh file virus utama melalui FTP (protokol transfer file). Virus kemudian membuat server FTP pada mesin yang terinfeksi dan mulai memindai lebih banyak target untuk disebarkan.
Tingkat kerusakan sulit diukur karena worm tidak menyebar melalui email, kata Hypponen.
Microsoft merilis tambalan pada Agustus. 9. Keesokan harinya, seorang individu Rusia yang menggunakan nama "Houseofdabus" merilis kode eksploit yang dapat digunakan untuk mengambil alih mesin yang memiliki kerentanan, kata F-Secure.
Pada hari Minggu, Zotob. Seekor cacing ditemukan. Pihak yang tidak dikenal telah memasukkan kode Houseofdabus ke dalam worm yang akan menyebar secara otomatis melalui Internet, kata F-Secure. Perkembangan serupa terjadi pada Mei tahun lalu, katanya, ketika penulis virus Sven Jaschan memasukkan kode eksploitasi LSASS Houseofdabus ke dalam worm Sasser miliknya.
Seperti biasa, wabah worm membuat vendor antivirus bekerja sepanjang malam. Hypponen sudah bangun sejak jam 2 pagi dan baru akan makan untuk pertama kalinya pada Rabu sore, katanya.
Halaman web Microsoft, "Apa yang harus Anda ketahui tentang Zotob," menyertakan tautan ke tambalan dan diperbarui Selasa pukul https://www.microsoft.com/security/incident/zotob.mspx.
Pelanggan di AS dan Kanada yang merasa telah terinfeksi dapat menghubungi Layanan Dukungan Produk Microsoft di 1-866-PCSAFETY, kata Microsoft. Tidak ada biaya untuk panggilan yang berkaitan dengan masalah pembaruan keamanan atau virus, katanya. Pelanggan internasional harus merujuk ke situs Web Bantuan dan Dukungan Keamanan untuk Pengguna Rumahan di https://support.microsoft.com/?pr=SecurityHome, itu berkata.
Microsoft juga mendesak pelanggan AS yang terinfeksi untuk menghubungi kantor Biro Investigasi Federal setempat atau, untuk pengguna internasional, lembaga penegak hukum nasional mereka.
(Martyn Williams dan Robert McMillan berkontribusi pada cerita ini.)