Overheidsdiensten die al twee dagen gedwongen niets doen is hot nieuws in een tijd dat het vriesweer nieuws nummer één is zodra het 3 dagen aanhoud. Hoe kan een instantie, die toch wel serieuze inspanningen levert om de gegevens van onze belastingbrief te beschermen, besmet geraken??
Hoewel we geen onderzoek ter plaatse mogen uitvoeren, zijn er enkele voor de hand liggende redenen. Denk maar aan mobiele dragers die via usb of Bluetooth met het netwerk verbonden worden? Men vergeet maar al te vaak dat zelfs op iPhones en Android Smartphones bestanden kunnen huizen die voor de telefoon onschadelijk zijn, maar niet voor een Windows machine. Wat ze ook beweren, op een Windows 7 pc met beperkte rechten zal zulk virus zich nooit verspreiden. Reden is dat op dergelijke systemen het register en de systeembestanden afgeschermd worden.
Zonder de pc’s te onderzoeken kan ik al meegeven dat een Windows toestel het netwerk heeft besmet. Deze windows-versie een Windows XP of lager besturingssysteem zijn geweest, waarvan Microsoft zelf aangeeft dat het unmanaged is. Of misschien was het de een of andere onvoorzichtige manager die van de IT diensten eiste dat hij niet voortdurend popups zou krijgen met de vraag voor een systeem admin paswoord. Tja gemak brengt ongemakken. Ook It helpdesk en ondersteuningsdiensten durven nogal eens groeien in nonchalance. In onze vzw ICT Testlab hebben we een bedrijfscontrole-richtlijnen-bundle opgesteld waarmee studenten bij kmo’s de nodige audits deden. U zou verbaasd zijn moest u weten hoe pover het gesteld is met de beveiliging binnen die bedrijven. Hierbij zetten zij al hun gegevens en backups op het spel….
Onlangs belde een goede vriend me die problemen had met spam. Ik deed een audit van zijn netwerk dat zogezegd juist door de GROOTSTE ICT dienstverlener van Limburg voorzien was van een server en toebehoren. Wat bleek? De vriend had een Watchguard met UMTS beveiliging betaald, maar deze was slechts gedeeltelijk actief. Het antwoord van de leverancier toen we hem dit onder de aandacht brachten: “ Zeg, dat is niet zo makkelijk goed te configureren….”
Schuldige in dit alles is de overheid. We hebben hen onze controle tool al aangeboden zodat een bedrijf een stok achter de deur heeft voor zijn ICT leverancier, die in dient te vullen welke voorzieningen hij getroffen heeft voor alle mogelijke bedreigingen. Maar de overheid gaf aan géén budget te hebben. Het resultaat is dat ze bij de belastingsdiensten onproduktieve bedienden mogen betalen om deze mensen naar hun scherm te laten staren. Een klein beetje lange-termijndenken was misschien wel op zijn plaats geweest.
Terug naar onze sality gen.
Methode van verspreiding
Virussen zijn niet magisch zelfdenkend. Ze worden meestal gemaakt door programmeurs die soms beter een andere opleiding hadden gekozen. Dit soort ICT trailer trash vind het moeilijk begrijpen dat Al Quaida codes om virussen te maken aanbiedt met een ander doel dan de wereld te verbeteren.
Het virus moet door iets of iemand op een systeem gelanceerd worden, en dat kan op verschillende manieren:
- Gebruiker voert het bestand bewust (dubbelklik) of onbewust uit (bijv. vanuit website dmv buffer overflow)
- Autorun.inf voert automatisch het bestand uit via insteken DVD of CD of een usb-stick
- Een eerder geinstalleerd virus heeft de beveiliging van de pc op full admin gezet en haalt het virus binnen.
Bestaande antivirus programma’s die serieel werken en wachten op een melding van het virus met het patron vissen achter het net.
Antivirus programma’s als Mc Afee en anderen waren machteloos en bijkomend werd de nodige melding niet doorgegeven omdat ondertussen het antivirus programma zelf door de besmetter uitgeschakeld was.
Ondertussen plaatst onze sality een autorun.inf bestand in het netwerk. De server heeft een bestand dat een iedere opstartende gebruiker voorziet van nodige netwerk drives (iedereen mapt een aantal netwerkstations die hij of zij frequent moet bezoeken). Onze Sally plaatst in dit script een verwijzing naar het besmette bestand en voor iemand het weet, is heel het netwerk besmet.
Symptomen
In het oog springende aanwijzingen dat Sally of een van haar zussen langsgeweest is, ontdek je wanneer een lokale security policy wijziging in het register blokkeert. Daarnaast worden anti-virus producten actief door het virus geblokkeerd waardoor de toepassing geenvirussen meer herkend, auto-updates niet meer werken en de ePO Agent uitgezet wordt.
Een niet te verwaarlozen opmerking is dat het virus de toegang tot alle admin shares (c$, admin$, etc.) op het systeem volledig open zet. Met andere woorden het geeft in deze afgeschermde directories alle rechten aan het virus.
Verspreiding op het netwerk
Het virus heeft ondertussen admin rechten en begint te knutselen met de firewall. Via uitgaande verbindingen over poort 80 (HTTP) probeert het virus nieuwe componenten te downloaden – die poort moet dus dicht. De doel ip-adressen van de verbindingen verschillen per variant, waardoor het wenselijk is alle uitgaande verbindingen te blokkeren met uitzonderingen voor het hoogstnodige.
Bescherming en opschoning van je pc ( bron http://www.medusoft.eu)
Gezien het polymorfisch karakter van het virus, is het onmogelijk om een definitie te maken die volledige dekking biedt, niet voor McAfee maar ook niet voor andere vendors. Dat maakt het moeilijk om met alleen anti-virus definities tegen het virus te vechten.
Opschonen
Het virus heeft alle bestanden die het kon infecteren, ook daadwerkelijk geinfecteerd. Dit betekent dat op geinfecteerde systemen alle programma’s besmet werden. Antivirus vendors zijn met behulp van definities goed in staat om de infectie uit die bestanden te halen. Maar vanwege “slecht programmeerwerk” van de virusschrijvers is het niet mogelijk om de verminking helemaal te herstellen. Een systeem kan na veel uren werken dus weer volledig functioneel worden gemaakt.
De sporen zullen echter in het systeem blijven en vertragingen zullen orde en regel worden. In feite helpt hier maar één oplossing. De computer voorzien van een nieuwe harde schijf en volledig herinstalleren waarbij alle veilheidsvoorschriften van Microsoft gevolgd worden. Alleen zo kan je op twee oren slapen. Programma’s die van een volledig geinstalleerd systeem een image maken tonen hier maar weer hun waarde, zoals Symantec backup exec. Op 8 minuten heb je een clean systeem waar je zelf baas over bent.
Wat kun je doen als je pc nog onbesmet lijkt en je infectie wilt voorkomen?
Pro-Actief Beveiligen
De volgende zaken kunnen worden gedaan om pro-actief tegen virussen te beveiligen:
- Voorkom aanpassen van lokale executables door systemen in het netwerk / maak shares read-only waar mogelijk .
- Gebruik van USB-Stick, smartphones en andere draagbare media limiteren.
- Toegang tot gevaarlijke websites blokkeren , gebruik bvb OpenDNS.
- Het admin account enkel gebruiken voor installatie van erkende programma’s. Voord de rest surfen en werken met gebruiker gelimiteerde rechten. In geval programma’s de admin-functie nodig hebben om goed te kunnen functioneren, (denk aan RoboHelp), kan je toch zoveel mogelijk deze rechten beperken.
http://windows.microsoft.com/nl-BE/windows-vista/Turn-User-Account-Control-on-or-off
Vermijd ALLE zogezegde oplossingen (free) Meestal is dit de oorzaak (het virus zelf) en niet de remedie.
Advies nodig stuur een mailtje naar danny@analys4it.be.
: 
Dit artikel is onleesbaar, het lijkt wel een door de computer gemaakte vertaling.