Új vírus - avagy elkaptunk tegnap egy kártevőt

Az egyik ügyfelünk szólt, hogy furcsa jelenségek vannak a rendszerében. Néhány mappa eltűnt, és a felhasználók gépei is furán viselkednek. Felugró cmd ablakok, lassulás a gépeken. Egyszóval azonnal kimentünk felderíteni a hibát. Az ügyfélnél fullos McAfee ePO rendszer van, VirusScan Enterprise 8.7i patch 3, legújabb motor és legújabb minta, ezért is volt fura a jelenség.

Mikor kimentünk, 5 gép produkálta a jelenséget. Ezeket villámgyorsan lehúztuk a LAN-ról, kikaptuk a merevlemezeiket és egy tiszta géphez csatlakoztatva elkezdük ellenőrizni őket mindenféle vírusirtóval.

Közben megnéztük a szerver megosztást is ahol eltűntek a mappák. Kitiltottuk róla a felhasználókat, hogy ne fertőződjön esetlegesen a többi gép is. Azt láttuk, hogy a mappák megvannak, csak éppen Hidden és System attribútumok vannak beállítva rajtuk. Ami mindjárt feltűnt, hogy minden egyes eltűnt mappa nevének megfelelő shortcut (Mappa.LNK) állomány is van az adott helyen. Megnéztük a shortcut állományok tulajdonságait és azok mind egy futtatható állományra mutatnak. Több sem kellett, azonnal beálítottuk, hogy semmilyen szerveren ne legyenek elérhetőek az lnk állományok. Ugyanis a gyanútlan felhasználók ezekre a shortcutokra kattintottak a mappa helyett. Ezt a VirusScan Access Protection részében tettük meg, mert ilyet is tud a VirusScan (Jópofa ötlet ezzel kapcsolatban, hogy például a fileszerveren ha akarjuk, kitilthatjuk mondjuk az mp3 kiterjesztésű állományok felmásolását.). Majd az adott mappából kitöröltünk minden egyes gyanús állományt és az Attrib -H -S /D /S paranccsal visszaállítottuk az adott mappában az állomány és mappa attribútunokat. A gyanús állományokat viszonylag könnyű volt megtalálni, mivel mindegyikük keletkezési dátuma azonos volt.

Most, hogy már sejtettük a rosszindulatú kód működését elkezdtük tovább vizsgálni a munkaállomásokat. Sajnos semmilyen vírusirtó nem talált semmit a gépeken, viszont ott is megtaláltuk a gyanús állományokat illetve az eltüntetett foldereket. Így nem marad más hátra, gyorsan beküldtük a McAfee csapatának a gyanús állományokat és közben próbáltunk rájönni a további működési mechanizmusra, esetlegesen okozott károkra. 

A szervereken az lnk állományok kitiltása óta, semmilyen gyanús jelenség nem fordult elő, illetve a többi munkaállomáson sem fordult elő semmilyen anomália, így visszaengedtük őket a szerver megosztásra, mivel a munkának folytatódnia kellett, és közben folyamatosan ellenőriztük, hogy történik e valami a megosztáson. Szerencsére semmi gyanús nem történt.

A McAfee csapata időközben megoldotta a feladványt és azonosította a wormot, ami egy teljesen új valami volt, azelőtt még ők sem látták. El is nevezték: Downloader-CIX.gen.e (ED) lett a becses neve. Elküldtek egy extra dat állományt, amit az ePO központi menedzsmenten keresztül szétterítettünk a munkaállomásokra. Pár napon belül valószínűleg benne lesz már a rendes datban is.

A fertőzött gépeket újratelepítettük, csak a biztonság kedvéért.

Hát így telt a tegnapi napunk. Az ügyfélnél még a szigorított beállítások egy ideig érvényben lesznek, ha meggyőződtünk róla, hogy a veszély elmúlt, visszatérünk a normális kerékvágásba. Tanulsága a dolognak annyi volt, hogy az időbeni beavatkozás miatt az ügyfél rendszere minimális kieséssel élte túl a támadást. El sem tudom képzelni, hogy mi történt volna, ha nem figyelnek az ügyfélnél a fiúk.



1 megjegyzés: