Læs også:
Del 1: De første tumlende angrebsbølger.
Del 2: De frygtede macro-vira.
Del 3: Meddelelserne angriber.
I 2001 spredte størstedelen af malwaren sig ved at sende inficerede filer over internettet eller ved at droppe inficerede filer på netværksdrev.
Det år udvidede malware-forfatterne deres horisont ved at gå målrettet efter sikkerhedshuller i Windows.
De blev også væsentligt mere sofistikerede.
Nu handlede det for visse programmører ikke længere om at ødelægge data eller lave løjer, men i stedet om at bruge deres anselige talenter til at tjene penge.
CodeRed inficerede over 300.000 Windows-servere ved at bruge en buffer overflow til at tage kontrol over IIS og derefter nedlægge websites på de inficerede servere.
Maskiner inficeret med CodeRed udsendte buffer overflow-pakker til tilfældige maskiner på internettet med den såkaldte heap spraying-teknik.
Microsoft lukkede hullet en måned før CodeRed blev lanceret, men administratorerne var ikke hurtige nok til at udrulle opdateringerne.
CodeRed II
En komplet omskrivning af angrebskoden resulterede i CodeRed II, som ikke alene anvendte heap spraying men også angreb lokale maskiner.
Nimba løber dog med guldet.
Denne virus bruger fem forskellige angrebsvektorer og må således siges at være en blended threat af første klasse:
Den inficerede ved hjælp af filer vedhæftet e-mails.
Den inficerede ubeskyttede netværksdrev.
Den forsøgte at nedlægge websites. Den gik efter servere på samme måde som CodeRed, ligesom den kunne udnytte bagdøre efterladt af CodeRed.
SQL Slammer rikochetterede sin vej gennem internettet i 2003, da den inficerede 75.000 maskiner på de første 10 minutter og slog store dele af internettet ud.
Ormen udnyttede et sikkerhedshul i SQL Server og SQL Desktop Engine, som ellers var blevet lukket seks måneder tidligere.
Den kopierede aldrig sig selv ned på harddisken, men foretrak i stedet at blive i hukommelsen. Det betød også, at man blot skulle genstarte den inficerede maskine for at rense den for inficeringen.
Blaster/LovSan
Ligesom SQL Slammer drønede Blaster (også kaldet Lovsan) gennem internettet i høj fart ved at skanne maskiner med internetforbindelse og sende sig selv videre.
Ligesom Slammer anvendte Blaster en exploit, der allerede var blevet rettet.
Men til forskel fra Slammer, angreb Blaster computere med Windows XP og Windows 2000. Dens last forsøgte at nedlægge Microsofts website Windowsupdate.com med et DDoS-angreb.
Læs også:
Del 1: De første tumlende angrebsbølger.
Del 2: De frygtede macro-vira.
Del 3: Meddelelserne angriber.
Oversat af Thomas Bøndergaard
