protego
Fjerndrift og overvåking av Anti-Virus løsning
© Protego AS. All rights reserved.
 

Protego advarer mot en ny orm!

Det er funnet en ny versjon av ”Downadup” eller ”Downad” ormen. Denne ormen infiserer Windows arbeidsstasjoner og servere.
Hva gjør Downadup/Downad:
Ormen bruker flere ulike spredningsmetoder, den utnytter et nylig oppdatert sikkerhetshull i Windows Server servicen, gjetter nettverkspassord samt infiserer USB enheter.
Et typisk problem generert av denne ormen er låsing av brukerkontoer. Dette skjer fordi ormen prøver å gjette (brute-force) nettverkspassord for å utløse den automatiske låsingen av kontoer ved for mange feiltastede programmer.

Når ormen først har infisert en maskin beskytter den seg veldig aggressivt. Dette gjør den ved å sette seg til å starte om veldig tidlig i oppstartsprosessen og ved å sette rettighetene på sine filer og registrynøkler  slik at brukeren ikke kan fjerne dem.
Ormen kan også sperre tilgang til forskjellige websider, som f.eks Microsoft.com og F-Secure.com (dette kan gjøre at man ikke får lastet ned windows oppdateringer og signaturfiler).
Ormen laster også ned modifiserte versjoner av seg selv fra en lang liste websider. Adressene til disse websidene genereres av en algoritme basert på dagens dato og klokkeslett. Siden det er flere hundre ulike domener som kan brukes av ormen er det vanskelig for sikkerhetsfirmaer å finne disse for så å sperre de.

Hva skal man gjøre for å unngå infeksjon:
1. Sjekk at man har installert de siste Microsoft oppdateringene
2. Sjekk at man kjører siste versjon av Anti-Virus i nettverket
3. Sjekk at man har de siste oppdateringer til Anti-Virus produktet man bruker
4. Skru av AUTORUN og AUTOPLAY for USB enheter
5. Vær sikker på at brukerenes domenepassord er komplekst
6. Ta ekstra godt vare på alle administratorpassord (lokaladmin, domeneadmin osv.)

Hva skal man gjøre hvis nettverket allerede er infisert:
1. Sjekk din anti-virus leverandør’s webside for desinfeksjonsrutiner (se link under for Trend Micro og F-Secure)
2. Desinfeksjon av denne ormen er komplekst og kan kreve at man kobler fra deler av nettverket
3. Begrens bruk av USB enheter og blokkèr unødvendig trafikk på deres brannmurer

F-Secure desinfeksjon:
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

Trend Micro desinfeksjon:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DOWNAD.AD




[Publisert: 08.01.2009]


Tilbake
Webdesign og CMS: InCreo