Just nu i M3-nätverket
Jump to content

Downadup


Johan_Jarl

Recommended Posts

Hej!

Just nu har vi en del problem med några företag som är infekterade, men hemanvändare kan också vara drabbade dock ej i samma utsträckning.

Downadup (också känd som Conficker) är en stor familj med nätverksmaskar. De är ovanligt svåra att rensa bort, speciellt när det är företagsnätverk som infekterats.

Så här undviker man att bli infekterad

·         Se till att de senaste uppdateringarna från Microsoft är installerade

·         Se till att företaget kör den senaste versionen av antivirusprogrammet

·         Se till att antivirusprogrammet är uppdaterat

·         Avaktivera AUTORUN och AUTOPLAY för USB-minnen

·         Se till att domänlösenorden är säkra

·         Se speciellt över att lösenorden för administratörerna är säkra

Så här gör man om nätverket redan är infekterat

·         Kolla på ditt antivirusföretags webb för instruktioner om hur masken kan avinstalleras

·         Avinstallationen av masken är komplex och kan kräva att delar av nätverket stängs ner

·         Begränsa användningen av USB-minnen och blockera onödig trafik i brandväggarna

Det här gör masken

Downadup använder flera olika metoder för att sprida sig såsom att gissa nätverkslösenord och infektera USB-minnen, samt även genom att utnyttja den sårbarhet i Windows Server Service som Microsoft nu åtgärdat. Följden är att det är ovanligt svårt att helt radera den skadliga koden när den väl finns inne i ett företags nätverk.

Ett typiskt problem som masken orsakar är att den stänger ute användare från nätverket. Det sker på grund av att masken försöker gissa (eller brute-force) nätverkslösenord och på så vis till sist aktiverar den automatiska utestängningen när den försökt gissa lösenordet för många gånger och misslyckats.

När väl masken infekterat en dator skyddar den aggressivt sig själv genom att starta tidigt i uppstartsprocessen och genom att sätta rättigheter på filer och registernycklar som hör till masken så att användare inte kan ta bort eller ändra dem.

Masken laddar ner modifierade versioner av sig själv från en lång rad webbsidor. Namnen på webbsidorna genereras av en algoritm baserad på nuvarande datum och klockslag. Eftersom det finns hundratals olika domäner som kan användas av den skadliga koden är det svårt för säkerhetsföretag att lokalisera och stänga ner dem i tid.

Vidare teknisk information om den skadliga koden finns på http://www.f-secure.com/weblog/. Där finns också ett gratisverktyg utvecklat av F-Secure för att ta bort kända versioner av Downadup.

Mvh,

Johan Jarl
F-Secure
Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...