這種攻擊利用了微軟公司在去年12月份公布和修正的一個WINS缺陷。但美國系統網絡安全協會互聯網風暴中心在一份報告中表示,在利用該缺陷的計算機代碼于去年12月31日被發布在K-Otik Security網站后,在最近數天中對運行WINS的計算機的掃描有顯著的增長。
據K-Otik Security網站稱,該代碼使遠程黑客能夠控制開啟WINS功能的Windows 2000服務器。據互聯網風暴中心的技術總監約翰尼斯稱,惡意黑客正在利用該缺陷在存在缺陷的系統上安裝特洛伊木馬程序或其它惡意代碼。
據微軟公司發布的公告稱,Windows NT Server 4.0和Windows Server 2003都存在WINS缺陷。WINS是微軟公司的將IP地址映射為計算機NetBIOS名字的技術。
約翰尼斯表示,自利用該缺陷的代碼被發布到K-Otik網站后,互聯網風暴中心就發現了來自少量互聯網主機的掃描,但還沒有發現有計算機因此而受到攻擊。
研究和教育網絡信息共享分析中心(ISAC)也注意到,從12月31日開始,對監聽TCP端口42數據流量的計算機的掃描有顯著增長。
約翰尼斯表示,在缺省狀態下,Windows NT計算機上的WINS是開啟的,但在Windows 2000、Windows 2003計算機上是關閉的,這可能也是這一攻擊沒有造成太大影響的原因。
沒有安裝微軟公司相應補丁軟件的用戶應當立即安裝補丁軟件。另外,用戶還應當關閉WINS功能,它已經被活動目錄技術所取代。約翰尼斯說,關閉的服務總是最安全的。