Advarsel om ny virksomheds-orm
Publiceret første gang d. 7.januar 2009, Kl.16:15, Redigeret 19. Januar Kl. 9:20 og 11. februar kl. 10:40
Vi og vores samarbejdspartnere har siden nytår modtaget flere meddelelser om angreb på virksomhedsnetværk forsaget af den nye variant af Downadup ormen. Vi har set flere tilfælde end normalt og dette skyldes primært manglende patching. Den nye virus har allerede påvirket mere end 10 millioner Windows PCere.
Downadup ormen (også kendt som Conficker) er en del af en stor familie af netværksorme. Beskrivelse finder du længere nede i artiklen. De er ofte meget svære at fjerne – især i de tilfælde, hvor de har held med en intern infiltration af et virksomhedsnetværk.
Downadup/conflicker er under mistanke for at skulle konstruere et nyt botnet. Virusen findes af en del antivirusprogrammer, men check for en sikkerheds skyld med din udbyder. Det er desuden meget vigtigt at have de seneste definitionsfiler. Vigtigtst er det udover at have et opdateret antivirusprogram, at anvende Microsoft's seneste patches. Længere nede i artiklen finder du generelle råd.
Her er en række gode generelle råd for at undgå infektion:
- Sørg for at benytte seneste Microsoft patch
- Benyt seneste fuldt opdaterede version af Jeres antivirusløsning
- Fravælg AUTORUN og AUTOPLAY for USB-sticks
- Vær sikkerpå at computerbrugernes domænepasswords er optimale
- Vær ekstra opmærksom på administratorens passwords - er de komplekse nok, hvem har adgang til dem og hvor benyttes de.
Hvis netværket allerede er inficeret:
- Tjek din antivirus leverandørs hjemmeside for instruktioner for at fjerne ormen
- Fjernelse af ormen er kompleks og kan kræve, at du lukker ned for dele af virksomhedens netværk
- Begræns brugen af USB-stick og blokér for unødig trafik gennem firewalls
En af vores samarbejdspartnere på antivirusområdet- F-Secure har sammen med bl. a. CERT, indgået tæt samarbejde med flere af de angrebne virksomheder for at bekæmpe virusorm-udbruddet. F-Secure har lagt et gratis værktøj online, der kan fjerne kendte versioner af Downadup ormen. Hent det her: f-secure.com/weblog
Her er mere hjælp fra nogle af vores andre samarbejdspartnere:
Om Downadup / conficker ormen.
Ormen har til formål at lukke andet malware ind i systemet. Den benytter sig af flere forskellige spredningsmetoder. En af disse er ved at udnytte det seneste sikkerhedshul i Windows Server Service, hvor den gætter netværk-passwords og inficerer USB-sticks. Finder ormen vej ind i et netværk, kan den være meget svær at fjerne helt.
Typisk spærrer ormen adgangen for netværksbrugerne til de accounts, som de normalt har adgang til. Det sker fordi, at ormen forsøger at gætte (eller tvinge) sig adgang til netværkets passwords, og derved aktiveres den automatiske lockout funktion, som træder i kraft ved for mange forkert indtastede passwords i træk.
Når først ormen har inficeret en computer, beskytter den sig selv meget aggressivt. Det gør den ved at programmere sig selv til genstart meget tidligt i computerens boot-up proces og ved at sætte adgangsrettigheder til ormens filer og registreringsnøgler således, at brugerne ikke kan fjerne eller ændre dem.
Ormen downloader desuden ændrede versioner af sig selv, fra en lang række hjemmesider. Navnene på disse hjemmesider bliver løbende genereret af en algoritme baseret på dagens dato og tidspunkt. Eftersom at der er flere hundrede domænenavne, som ormen kan benytte, er det svært for it-sikkerhedsfirmaer at lokalisere og lukke dem ned på én gang.
For mere information om ormen se f.eks. f-secure.com/weblog eller kontakt C-cure.
