Fant verstingormens store svakhet

Enkelt å oppdage Conficker i bedriftsnettverket.

31. mars 2009 - 11:57

Mens hele verden venter i spenning på hva de kriminelle kreftene bak Conficker-viruset planlegger i den fryktede oppdateringen som aktiveres i morgen 1. april, kan løsningen allerede være klar.

De siste fem månedene har Windows-ormen ifølge beregninger infisert over tolv millioner PC-er. Nå har sikkerhetsforskere endelig funnet skadevarens akilleshæl.

Det skriver The Register.

Gjennombruddet kom da det ble oppdaget at infiserte maskiner får en spesiell signatur i nettverket. Trolig bruker viruset denne metoden for å kunne spre seg enda mer effektivt.

Skadevarenes design kan føre til at ormen faller for eget grep. Den samme signaturen gjør det nemlig mye enklere å indentifisere – og dermed rense – infiserte datamaskiner i nettverket.

Les hvordan du kan unngå infeksjon her.

Politiet ble tidligere denne måneden hardt rammet av et Conficker-utbrudd, og renseprosessen har tatt mye lenger tid enn etatens driftsavdeling opprinnelig så for seg. Grunnen er at rensede PC-er har blitt infisert på nytt når de startes opp.

Så langt har det bare vært to måter å oppdage en Conficker-infeksjon på, og ingen av dem har vært spesielt enkle. En var å overvåke utgående trafikk fra hver eneste maskin i nettverket, en metode som fungerte helt til det dukket opp en ny versjon som skjuler seg. Det er denne versjonen, Conficker.C, som ligger å venter på aktivering den 1. april.

Den andre metoden har vært å søke gjennom hver eneste PC individuelt, en svært tidkrevende operasjon for virksomheter med store nettverk.

Ormens nyoppdagede svakhet gir driftsansvarlige et kjærkomment tredje alternativ.

Denne uken har en rekke sikkerhetsleverandører gitt ut oppdaterte versjoner av sine sikkerhetspakker som skal gjøre det mulig å raskt finne og rense PC-er i nettverket. Ifølge The Register gjelder dette blant annet friprogløsningen Nmap, McAfees Foundstone Enterprise og Nessus fra Tanable Network Security.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.