这种攻击利用了微软公司在去年12月份公布和修正的一个WINS缺陷。但美国系统网络安全协会互联网风暴中心在一份报告中表示,在利用该缺陷的计算机代码于去年12月31日被发布在K-Otik Security网站后,在最近数天中对运行WINS的计算机的扫描有显著的增长。
据K-Otik Security网站称,该代码使远程黑客能够控制开启WINS功能的Windows 2000服务器。据互联网风暴中心的技术总监约翰尼斯称,恶意黑客正在利用该缺陷在存在缺陷的系统上安装特洛伊木马程序或其它恶意代码。
据微软公司发布的公告称,Windows NT Server 4.0和Windows Server 2003都存在WINS缺陷。WINS是微软公司的将IP地址映射为计算机NetBIOS名字的技术。
约翰尼斯表示,自利用该缺陷的代码被发布到K-Otik网站后,互联网风暴中心就发现了来自少量互联网主机的扫描,但还没有发现有计算机因此而受到攻击。
研究和教育网络信息共享分析中心(ISAC)也注意到,从12月31日开始,对监听TCP端口42数据流量的计算机的扫描有显著增长。
约翰尼斯表示,在缺省状态下,Windows NT计算机上的WINS是开启的,但在Windows 2000、Windows 2003计算机上是关闭的,这可能也是这一攻击没有造成太大影响的原因。
没有安装微软公司相应补丁软件的用户应当立即安装补丁软件。另外,用户还应当关闭WINS功能,它已经被活动目录技术所取代。约翰尼斯说,关闭的服务总是最安全的。