Pressemeddelelse: F-Secure advarer mod ny virksomheds-orm

on, jan 07, 2009 14:49 CET

It-sikkerhedsfirmaet F-Secure advarer mod orm, der angriber Windows arbejdsstationer og servere i virksomheder. Ormen er en ny version af ”Downadup” ormen.

København, den 7. januar 2009 - Siden nytår har F-Secure modtaget flere meddelelser om angreb på virksomhedsnetværk forsaget af den nye variant af Downadup ormen. Den nye virus har allerede påvirket flere virksomheder, og derfor har F-Secure nu, sammen med blandt andet CERT, indgået tæt samarbejde med flere af de angrebne virksomheder for at bekæmpe virusorm-udbruddet. F-Secure har lagt et gratis værktøj online, der kan fjerne kendte versioner af Downadup ormen. Hent det her: http://www.f-secure.com/weblog

Downadup ormen (også kendt som Conficker) er en del af en stor familie af netværksorme. De er ofte meget svære at fjerne – især i de tilfælde, hvor de har held med en intern infiltration af et virksomhedsnetværk.

Men hvad gør Downadup ormen egentligt? Ormen benytter sig af flere forskellige metoder til at sprede sig selv. En af disse er ved at udnytte det seneste sikkerhedshul i Windows Server Service, og gætte netværk passwords og inficere USB-sticks. Finder ormen vej ind i et netværk, kan den være meget svær at fjerne helt.

De typiske problemer som ormen vil skabe, er at spærre adgangen for netværksbrugerne til de accounts, som de normalt har adgang til. Det sker fordi, at ormen forsøger at gætte (eller tvinge) sig adgang til netværkets passwords, og derved aktiveres den automatiske lockout funktion, som træder i kraft ved for mange forkert indtastede passwords i træk.

Når først ormen har inficeret en computer, beskytter den sig selv meget aggressivt. Det gør den ved at programmere sig selv til genstart meget tidligt i computerens boot-up proces og ved at sætte adgangsrettigheder til ormens filer og registreringsnøgler således, at brugerne ikke kan fjerne eller ændre dem.

Ormen downloader også ændrede versioner af sig selv fra en lang række hjemmesider. Navnene på disse hjemmesider bliver løbende genereret af en algoritme baseret på dagens dato og tidspunkt. Eftersom at der er flere hundrede domænenavne, som virussen kan benytte, er det svært for it-sikkerhedsfirmaer at lokalisere og lukke dem ned på én gang.

F-Secure har derfor en række gode råd for at undgå infektion:
- Sikre, at virksomheden bruger den seneste Microsoft patch
- Sikre, at virksomheden kører den seneste version af jeres antivirus produkt
- Tjek, at antivirus programmet er fuldt opdateret
- Fravælg AUTORUN og AUTOPLAY for USB-sticks
- Sikre, at computerbrugernes domænepasswords er optimale
- Vær ekstra opmærksom på administratorens passwords

F-Secure har også en række råd, hvis netværket allerede er inficeret:
- Tjek din antivirus leverandørs hjemmeside for instruktioner for at fjerne ormen
- Fjernelse af ormen er kompleks og kan kræve, at du lukker ned for dele af virksomhedens netværk
- Begræns brugen af USB-stick og blokér for unødig trafik gennem firewalls

For mere information om ormen besøg venligst http://www.f-secure.com/weblog

For kommentarer om ormen eller F-Secure generelt, kontakt venligst:
Channel Manager Michael Dahl
Tlf.: +45 2629 8847
E-mail: michael.dahl@f-secure.com