Autorun og MS08-067 er Downadup-ormens foretrukne våben

Ormen, som har inficeret pc'er på hospitaler i Danmark og Sverige i denne uge, spreder sig via USB-lagermedier og en tre måneder gammel Windows-sårbarhed.

Downadup-ormen, som også kaldes Conficker, har for alvor fået tag i sårbare netværk i den forløbne uge. Sikkerhedsfirmaet F-Secure vurderede fredag, at tæt ved ni millioner pc'er ser ud til at være ramt.

Ormen er usædvanlig, da den er den første i næsten fem år, som er i stand til at sprede sig automatisk mellem ældre Windows-maskiner, som ikke er opdateret.

Men det er langt fra den eneste metode, som ormen benytter sig af. Ligesom flere andre moderne virusser kan de seneste Downadup-varianter nemlig angribe på flere måder.

»Da vi så de første eksemplarer, så brugte de udelukkende MS08-067-sårbarheden. Men vi så hurtigt, hvordan den har udviklet sig til at bruge især Autorun til at sprede sig,« fortæller Dave Marcus, kommunikationschef for McAfee Labs.

Microsoft udsendte MS08-067 som en ekstraordinær sikkerhedsopdatering den 23. oktober sidste år. Der er tale om en sårbarhed i Windows Server-tjenesten, som kan udnyttes til at få udført ondsindet kode på en sårbar Windows-maskiner over et netværk. Sådan en sårbarhed har ikke været udnyttet til et større angreb siden Sasser-ormen i april 2004.

Det er primært Windows-versioner fra før Windows Vista og Windows Server 2008, som kan angribes, selvom alle versioner er sårbare.

Autorun-angrebet, som bagmændene har tilføjet, udnytter, at Windows automatisk vil søge efter en Autorun.INF-fil, når et nyt lagermedie bliver sat til pc'en. Ved at kopiere sig selv til eksempelvis alle USB-lagermedier, som bliver tilsluttet en inficeret pc, så kan Downadup sprede sig mellem Windows-pc'er på samme måde, som mange virus frem til slutningen af 1990'erne gjorde det via disketter.

»Autorun-metoden har vi set rigtig meget af i hele 2008. Det afspejler, at folk er glade for USB-enhederne, og det er også fint, så længe man har sikkerheden på plads,« siger Dave Marcus.

Den letteste, omend ikke fuldstændigt vandtætte, metode til at sikre pc'er på netværket mod Autorun-infektioner er at slå den automatiske afvikling af filen fra ved at ændre en indstilling i Registreringsdatabasen. Det forhindrer, at Autorun.INF-afvikles automatisk.

Downadup indeholder også andre såkaldte exploits til at sprede sig ved hjælp af andre sårbarheder, men ifølge Dave Marcus har det primært været Autorun og MS08-067, som har været skyld i infektioner.

Selvom det snart er tre måneder siden, at Microsoft udsendte dets sikkerhedsopdatering, så kommer det ikke bag på Dave Marcus, at der stadig er virksomheder og som i Danmark og Sverige også hospitaler, som bliver ramt.

»I en stor virksomhed er du nødt til at teste, inden du kan opdatere flere tusinde pc'er, og det tager tid. Så det har jeg fuld forståelse for. Men for forbrugere er den eneste grund, at de ikke har slået automatiske opdateringer til, og det er der ingen undskyldning for ikke at gøre i dag,« siger Dave Marcus.

Har man først fået Downadup inden for firewallen på netværket, så er oprydningen besværlig. Først og fremmest skal man være opmærksom på, at den kopierer sig selv til alle netværksdrev, som er tilsluttet en inficeret pc, oplyser sikkerhedsfirmaet Trend Micro. Ved hjælp af Autorun-funktionen kan den således sprede sig til andre maskiner, blot ved at en bruger åbner et tilsluttet netværksdrev.

Den gemmer desuden en kopi af sig selv i papirkurven på den inficerede pc. For at sprede sig til endnu flere maskiner på netværket vil den sende forespørgsler til serverne på netværket og generere en liste over brugerkonti. Disse brugernavne vil den forsøge at knække adgangskoderne til ved hjælp af lister over de mest brugte adgangskoder.

Fordi ormen på den måde er yderst aggressiv, når den først er kommet ind på netværket, skal der derfor blot en enkelt pc til, som ikke er blevet opdateret, før ormen kan sprede sig til resten af netværket.

Selv opdateret antivirus på de øvrige Windows-maskiner er ingen fuldstændig garanti. Ormen sørger for at mutere sin kode for at gøre det vanskeligere for antivirus at opdage den.

Formålet med Downadup er at stjæle information. De nuværende versioner af ormen downloader forskellige trojanske bagdørsprogrammer, som bruges til at stjæle adgangskoder og personlige eller fortrolige oplysninger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere