Τέσσερα χρόνια μετά από την παγκόσμια επιδημία του διαβόητου ιού LoveLetter βρισκόμαστε και πάλι μπροστά σε μία σοβαρή επιδημία ιών της οποίας το εύρος θα μπορούσε να φτάσει σε ιστορικές διαστάσεις. Μετά από την εμφάνιση του Sasser.A, το Sasser.B έχει καταλάβει ήδη την πρώτη θέση μεταξύ των ιών με την μεγαλύτερη συχνότητα ανίχνευσης και εξουδετέρωσης, σύμφωνα με τα δεδομένα που συλλέγει το Panda ActiveScan. Ομάδες τεχνικών της Panda έχουν αρχίσει ήδη να βοηθούν χρήστες απ΄ όλο τον κόσμο που έχουν μολυνθεί από αυτά τα δύο worms. Αυτοί που επηρεάστηκαν περισσότερο είναι οι χρήστες σε μεγάλες εγκαταστάσεις πολλαπλών υπολογιστών οι οποίες, παρά το γεγονός ότι διαθέτουν προγράμματα antivirus τα οποία ενημερώνονται καθημερινά, θα συνεχίσουν να δέχονται επιθέσεις από αυτά τα worms μέχρι να εγκατασταθεί στο σύστημα η τελευταία διόρθωση από την Microsoft. Σ αυτές τις περιπτώσεις η διαδικασία είναι εξαιρετικά δύσκολη, και οι υπεύθυνοι των συστημάτων θα πρέπει να εγκαταστήσουν την απαιτούμενη διόρθωση σε κάθε σύστημα ξεχωριστά για να διασφαλίσουν ότι το πρόβλημα έχει λυθεί πλήρως, αναφέρει ο Luis Corrons από το Εργαστήριο Καταπολέμησης Ιών της Panda.
Σε σύγκριση με άλλους ενεργούς ιούς που έχουν εμφανιστεί κατά τη διάρκεια ενός Σαββατοκύριακου, όπου η δραστηριότητα των χρηστών είναι σε χαμηλά επίπεδα πράγμα το οποίο ισχύει ακόμη περισσότερο δεδομένου του εορτασμού της Πρωτομαγιάς σε πολλές χώρες ο συγκεκριμένος ιός είναι ήδη ένας από τους πλέον μολυσματικούς που έχουν εμφανιστεί ποτέ, με πολύ μεγάλη ταχύτητα εξάπλωσης. Όλες αυτές οι ενδείξεις συνηγορούν σε μία δυσοίωνη πρόβλεψη για την εβδομάδα που μόλις ξεκίνησε, και αναμένουμε ότι το πλήθος των περιστατικών μόλυνσης θα αυξηθεί εκθετικά με την έναρξη της εργάσιμης ημέρας, προσθέτει ο Luis Corrons.
Επιπλέον, αναμένουμε ότι θα εμφανιστούν και νέες παραλλαγές τις επόμενες ημέρες, όπως έχουμε δει να συμβαίνει σε αρκετές περιπτώσεις τους τελευταίους μήνες. Απ ότι φαίνεται, βρίσκεται σε εξέλιξη μία ακόμη επιδημία με ταυτόχρονες επιθέσεις από διαφορετικές παραλλαγές του ίδιου ιού, συνεχίζει ο Corrons. Το χειρότερο είναι ότι μεγάλες εταιρείες με χρήστες που δουλεύουν συνδεόμενοι στα συστήματά τους μέσω εικονικών δικτύων (virtual networks), ή μέσω φορητών υπολογιστών, χωρίς να προστατεύουν τα συστήματά τους με firewalls, μπορεί να ξεκινήσουν την λειτουργία τους τη Δευτέρα και να διαπιστώσουν ότι έχουν επηρεαστεί από τον ιό ακόμη κι αν έχουν εγκαταστήσει την διόρθωση της Microsoft και ενημερώνουν καθημερινά το antivirus τους, λόγω του γεγονότος ότι αμφότερες οι παραλλαγές του ιού χρησιμοποιούν την θύρα 445 του TCP για να εξαπλωθούν, και αυτή είναι μία από τις θύρες που χρησιμοποιούνται για την κοινή χρήση φακέλων και εκτυπωτών μέσω Internet.
Η κατάσταση αυτή, σε συνδυασμό με το πρόβλημα ασφάλειας που εκμεταλλεύονται τα Sasser.A και B, σημαίνει πρακτικά ότι είναι πιθανό να επηρεαστούν όλα τα συστήματα που χρησιμοποιούν το λογισμικό της Microsoft. Δηλαδή, εκατομμύρια υπολογιστές διατρέχουν τον κίνδυνο μόλυνσης από αυτά τα worms.Οι χρήστες μπορεί να μολυνθούν χωρίς καν να το αντιληφθούν το μοναδικό εμφανές σύμπτωμα που μπορεί να τους βάλει σε υποψίες είναι το γεγονός ότι ο υπολογιστής τους θα επανεκκινεί κάθε φορά που προσπαθούν να συνδεθούν online. Οι προχωρημένοι χρήστες θα αντιληφθούν την εισβολή του Sasser λόγω των καταχωρίσεων που δημιουργεί στο Registry, του αρχείου avserve.exe που δημιουργεί στον φάκελο εγκατάστασης των Windows, ή, σε ορισμένες περιπτώσεις, από τα μηνύματα που μπορεί να εμφανίσει στα Windows, τα οποία προειδοποιούν για προβλήματα με το LSA Shell ή σφάλματα στο Isass.exe προσθέτει ο Luis Corrons.
Η συμπεριφορά αυτού του ιού είναι παρόμοια με αυτή του Blaster που εμφανίστηκε τον Αύγουστο του 2003. Από την ημέρα που ανακοινώθηκε το πρόβλημα, πέρασαν 26 ολόκληρες ημέρες πριν το εκμεταλλευτεί κάποιος. Αλλά στην περίπτωση του Sassers, έχουν περάσει μόνο τρεις ημέρες από τότε που η Microsoft ανακοίνωσε δημοσίως την λύση του προβλήματος. Στο πρώτο στάδιο της επίθεσης του Blaster, την Δευτέρα στις 11 Αυγούστου του 2003, είχε επηρεάσει το 2.5% των υπολογιστών που έλεγχε το Panda ActiveScan παγκοσμίως. Αυτή η παραλλαγή του Sasser κοντεύει να φτάσει στο 3% σε 24 μόλις ώρες.
Η μόνη δυνατή λύση είναι η εγκατάσταση της διόρθωσης από την Microsoft το συντομότερο δυνατό, η αναβάθμιση του antivirus και η συνεχής ενημέρωση των χρηστών για τις εξελίξεις, αναφέρει ο Luis Corrons.Θέλουμε επίσης να τονίσουμε ότι οι χρήστες προϊόντων της Panda Software θα είναι απόλυτα προστατευμένοι μόλις αναβαθμίσουν το antivirus που χρησιμοποιούν, ενώ έχουμε κάνει ήδη διαθέσιμα δύο δωρεάν εργαλεία τα οποία μπορούν να χρησιμοποιήσουν οι χρήστες για την εξουδετέρωση αυτών των worms.
Εάν ο υπολογιστής σας έχει μολυνθεί, η Panda Software συνιστά να ακολουθήσετε τα παρακάτω βήματα για να απολυμάνετε τον υπολογιστή σας και να τον προστατέψετε πλήρως:
- Αποσυνδέστε όλα τα καλώδια που χρησιμοποιούνται για την σύνδεση στο Internet. Έτσι θα αποφύγετε την εκ νέου μόλυνση του υπολογιστή σας κατά την διάρκεια της διαδικασίας απολύμανσης.
- Ακολουθήστε τα παρακάτω βήματα για την απολύμανση κάθε υπολογιστή ξεχωριστά, συμπεριλαμβανομένων των servers, και μην συνδεθείτε online μέχρι να βεβαιωθείτε ότι το σύστημα είναι εντελώς απαλλαγμένο από τον ιό.
- Για να εμποδίσετε την επαναλαμβανόμενη επανεκκίνηση του συστήματος που προκαλεί ο ιός, εγκαταστήστε την λύση που παρέχει η Microsoft. ΣΗΜΕΙΩΣΗ: Εάν δεν χρησιμοποιήσετε την παρεχόμενη από την Microsoft λύση, ο υπολογιστής σας δεν θα είναι προστατευμένος έναντι αυτού του ιού και το πρόβλημα της επανεκκίνησης θα συνεχίσει να παρουσιάζεται κάθε φορά που προσπαθείτε να συνδεθείτε στο Internet. Εάν σκοπεύετε να διαμορφώσετε (format) τον δίσκο και να εγκαταστήσετε εκ νέου το λειτουργικό σύστημα, θα πρέπει να εγκαταστήσετε επίσης την διόρθωση της Microsoft για να είναι απόλυτα προστατευμένος ο υπολογιστής σας.- Μεταφέρετε το εργαλείο απολύμανσης PQREMOVE (π.χ. στην επιφάνεια εργασίας των Windows) από την διεύθυνση www.pandasoftware.com
ΣΗΜΕΙΩΣΗ: Εάν δυσκολευτείτε να μεταφέρετε το εργαλείο PQREMOVE από τον μολυσμένο υπολογιστή, προσπαθήστε να το μεταφέρετε από έναν υπολογιστή ο οποίος δεν έχει μολυνθεί. Αφού το μεταφέρετε, εγκαταστήστε το στον μολυσμένο υπολογιστή και αντιγράψτε το σε μία δισκέτα.
- Τρέξτε το PQREMOVE. Ακόμη κι αν το PQREMOVE αναφέρει ότι δεν έχει εντοπίσει ενεργούς ιούς στο σύστημα, επιλέξτε 'continue' για να εκτελέσετε μία πλήρη ανάλυση του συστήματος.
- Επανεκκινήστε τον υπολογιστή.
- Ενεργοποιήστε το antivirus.
- Εκτελέστε μία πλήρη ανάλυση ολόκληρου του συστήματός σας μ΄ ένα πρόγραμμα antivirus.
Για περισσότερες πληροφορίες σχετικά μ αυτή και άλλες μορφές απειλών, ανατρέξτε στην Εγκυκλοπαίδεια Ιών της Panda Software, στην διεύθυνση www.pandasoftware.com/virus_info/encyclopedia
Η διόρθωση της Microsoft είναι διαθέσιμη στην διεύθυνση www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Μπορείτε επίσης να μεταφέρετε το δωρεάν εργαλείο ανίχνευσης και απολύμανσης Panda ActiveScan από την διεύθυνση www.pandasoftware.com
|