Københavns Universitet lukker netværksdrev i 12 timer efter virusangreb

8 kommentarer.  Hop til debatten
Malware spredte sig torsdag og fredag blandt Københavns Universitets 15.000 brugere. Fakultetet Science valgte at lukke for adgang til drev i over 12 timer.
person
Henning Mølsted
Redaktionschef
12. oktober 2015 kl. 16:05
errorÆldre end 30 dage
person
Henning Mølsted
Redaktionschef
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En irriterende virus - en trojaner - spredte sig torsdag og fredag i to bølger blandt andet på Det Natur- og Biovidenskabelige Fakultet på Københavns Universitet, SCIENCE, som er landets største naturvidenskabelige forsknings- og uddannelsesinstitution med 4.500 ansatte og 9.500 fuldtids bachelor- og kandidatstuderende fordelt på 12 institutter.

Malwaren blev spredt via en vedhæftet zip-fil, hvis man klikkede på den. Herefter sendte den selv nye e-mails videre til emailadresser i adressebogen.

15-20 brugere nåede at klikke på zip-filen og dermed altså at sprede trojaneren:

»Vi er ind i mellem udsat for virusangreb af den art. Men denne gang nåede det at blive lidt større end vi normalt ser det - formentlig fordi flere fik klikket på den vedhæftede zip-fil, fordi e-mailen i mange tilfælde kom fra en intern mailboks,« siger vicedirektør Klaus Kvorning Hansen, Koncern-it, Københavns Universitet.

Netværksdrev lukket hele natten - og dagen efter igen

Science-fakultetet valgte at lukke adgangen til netværksdrev fra torsdag aften til fredag morgen - og igen i løbet af fredagen, hvor virusspredningen fortsatte.

Artiklen fortsætter efter annoncen

Heldigvis har malwaren angiveligt ikke forårsaget anden skade end at sprede sig selv. Netop nu er it-administratorer også i den offentlige sektor bekymrede for den mere skadelige ransomware, hvor de kriminelle spærrer for datatilgang og i værste fald afpresser den ramte organisation for pengebeløb.

'Flere offentlige institutioner har gennem den seneste tid været udsat for hackerangreb, hvor data er blevet taget som gidsel. I disse tilfælde har hackere forlangt store beløb for at genåbne for adgang til data. Det KAN være sådan et angreb vi nu er udsat for,' skrev ledelsen på Science i en intern e-mail til de ansatte torsdag aften i sidste uge.

Alt tyder dog på at der 'kun' har været tale om malware, som spredte sig via e-mails og ikke andet.

»7-9-13 er vi angiveligt ikke udsat for ransomware,« siger Klaus Kvorning Hansen.

Artiklen fortsætter efter annoncen

Jobs

Tilpas personaliserede job
Vis alle

Udover at lukke netværk ned i en periode, har universitetet taget initiativ til at opdatere virusværn og scannet emailservere for den pågældende virus-email for at hindre yderligere spredning.

Universitetet har et back-up system, hvor man tager et snapshot af systemerne så hyppigt, at de ansatte højst kan miste to timers arbejde på deres pc i tilfælde af nedlukninger. Genskabelsen er dog en ikke uden omkostninger:

'Det er en stor opgave, som kan komme til at påvirke mange brugere gennem lang tid (dage, uger eller måneder),' skriver fakultetsledelsen i den interne e-mail.

8 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
7
Jacob Rasmussen
13. oktober 2015 kl. 10:12

Nogen der ligger inde med et eksempel på nævnte .zip-fil? Jeg vil gerne tage et kig.

Jeg ved ikke om KU blev ramt af samme virus, som vores kunder fik ind af brevsprækken i fredags, men det lyder som samme fremgangsmåde.

Jeg pakkede filen op på en offline maskine, og det ser blot ud til at være en almindelig ZIP fil, med en PE exe fil inden i. Kan man sætte filerne til at være selv-eksekverbare i en almindelig zipfil?

Jeg har pågældende fil på lager, hvis du vil se den.

Virussen blev ikke genkendt af de scannere vi normalt tester med, da vi modtog den i fredags, i dag bliver den dog genkendt af de fleste. Det ser ud til at være en variant af Win32/Upatre der var ukendt til i fredags.

  • more_vert
    • insert_linkKopier link
6
Troels Henriksen
13. oktober 2015 kl. 10:08

Troels: Det kan vel sagtens ske, ved at exploite et unzip-program, og opnå code execution gennem det :-)

Muligvis! Jeg tænker bare at unzip-programmer er så relativt enkle, og så oplagt en angrebsvektor, at de da efterhånden må være sikrede. De har jo reelt kun én kodesti og ikke specielt meget funktionalitet.

Jeg vil stadigvæk gerne se den .zip-fil. Findes der ikke en side hvor man kan hente inficerede filer (altså, med vilje)?

  • more_vert
    • insert_linkKopier link
5
Gert G. Larsen
13. oktober 2015 kl. 09:48

Troels: Det kan vel sagtens ske, ved at exploite et unzip-program, og opnå code execution gennem det :-) ....eller det ku være zip-filen indeholdt en exe-fil, som der efterfølgende blev klikket lidt på....

  • more_vert
    • insert_linkKopier link
3
Troels Henriksen
12. oktober 2015 kl. 22:23

Men vil anbefale skift til google, de har også backup ude i byen.

Hvad er det du vil anbefale man skifter til Google?

KUs postsystem er i øvrigt baseret på Exchange - jeg ved ikke hvor meget der hostes selv, men jeg mener at al elektropost er en tur forbi Microsoft for at blive kontrolleret (MX-posten for det domæne min KU-addresse ligger på peger i hvert fald på ku-dk.mail.protection.outlook.com).

  • more_vert
    • insert_linkKopier link
2
Bent Jensen
12. oktober 2015 kl. 20:21

"Udover at lukke netværk ned i en periode, har universitetet taget initiativ til at opdatere virusværn og scannet emailservere for den pågældende virus-email for at hindre yderligere spredning."

Skulle man ikke det inden ?

Netop når man er kommet ind på egen domain, så burde der være styr på sikkerheden. Men vil anbefale skift til google, de har også backup ude i byen.

Det viser desvære standarten også ved andre myndigheder.

Ingen log fil, ingen automatik, ingen overvågning, ingen ................

  • more_vert
    • insert_linkKopier link
1
Troels Henriksen
12. oktober 2015 kl. 19:35

Hvordan kan den sprede sig blot ved at en .zip-fil åbnes?

Nogen der ligger inde med et eksempel på nævnte .zip-fil? Jeg vil gerne tage et kig.

  • more_vert
    • insert_linkKopier link