
Kontaktinformationer Salg tlf.: +45 7080 8684 Support tlf.: +45 8740 7230 e-mail, adresser, fax og åbningstider Forside Produkter / Løsninger Atea produkter Atea Security Service Kursus oversigt Privat / hjemmebrug Priser McAfee McAfee løsninger McAfee Produkter DAT filer / SuperDAT-6058 Beta versioner / Beta DAT's Support Download licensversioner Download fra McAfee (Grant Nr.) McAfee.com Symantec Symantec Endpoint Protection Opstart & Licensing Portal Symantec kurser Trend Micro Trend Micro løsninger Trend Micro enterprise Trend Micro SMB Trend Micro konfigurator Trend Micro Gratis værktøjer Microsoft Forefront Licensiering Microsoft Forefront Download og beskrivelse Security Intelligence Report ScanSafe ScanSafe løsninger Anywhere+ ScanSafe login Barracuda Barracuda løsninger Websense Websense løsninger Imprivata Imprivata OneSign Download Gratis værktøj til rensning af virus Evaluering Gratis værktøjer / Free tools Services NyhedsService Sporing og rensning af virus Malware information Malware information Links Atea Microsoft Forefront Symantec Trend Micro	Information om sporing og rensning af W32/Lovsan.worm (Blaster) virus Denne side beskriver hvordan W32/Lovsan.worm / Blaster inficerede systemer kan opspores i netværk og renses, samt hvilke procedurer der kan sikre systemer mod lignende angreb i fremtiden. Siden vil løbende blive opdateret med relevant information. Vi modtager meget gerne feedback via email mcafee_support@ementor.dk eller på telefon 80 81 56 60. Microsoft information og update What You Should Know About the Blaster Worm McAfee's information om LovSan / Blaster Rensning af inficerede systemer Rensningen af et inficeret system bør udføres direkte lokalt på systemet. Informationerne findes også i vores FAQ 1. Start det inficerede system 2. Hvis systemet vil genstarte inden for 60 sekunder Klik "Start" og "Run" eller "Kør" og skriv kommandoen "shutdown -a" og klik "Ok" for at afbryde genstarten. 3. Download og kør rettelsen fra Microsoft for at lukke hullet. Se nederst på denne side eller prøv med nedenstående link. http://support.microsoft.com/default.aspx?scid=kb;en-us;823980 Se under punktet "RESOLUTION" 4. Download og kør McAfee Stinger for at fjerne denne virus. http://vil.nai.com/vil/stinger/ 5. Genstart 6. Færdig Beskyttelse med antivirus er ikke nok RPC virus/orme som LovSan kan skabe problemer på systemer, som ikke er opdateret med Microsoft rettelsen MS03-026, selvom systemet kører med et opdateret og aktivt antivirus program. Antivirus programmerne kan ikke forhindre en virus/orm i at angribe en sårbar port på systemet, og udnytter et hul eller en sårbarhed i systemet. Antivirus programmerne kan forhindre en virus/orm som prøver at kopiere sig ind på harddisken, og forhindre virus i at aktiveres fra harddisken. Der betyder, at når LovSan angriber et system, som ikke er opdateret med Microsoft rettelsen, men har et aktivt og opdateret antivirus program, så kan det angrebne system stadig blive påvirket til at RPC servicen går ned, systemet åbner op for port 4444, systemet bliver ustabilt og andre uhensigtsmæssige ting. Antivirus programmet vil give en alarm og stoppe de filer som LovSan forsøger at skrive og aktivere på den lokale harddisk. Det er derfor meget vigtigt, at sikkerheden på et system ikke kun bygger på antivirus programmet. Systemerne skal også opdateres med Microsoft rettelsen. MS03-026 Opsporing af inficerede systemer Det kan være en uoverskuelig opgave at opspore de inficerede systemer i netværket. Det er dog muligt at spore inficerede systemer ved at scanne efter en åben port 4444 på alle systemer i netværket. Her er et link til et gratis portscanner program, som hurtigt kan konfigureres til at scanne alle systemer, der har en åben port 4444, hvilket indikerer at de er inficeret eller forsøgt inficeret. Programmet kan let konfigureres til kun at scanne efter port 135 og port 4444, for herved at forøge scanningshastigheden. SuperScan kan gratis hentes her: SuperScan fra www.foundstone.com Bemærk at port 4444 kan blive lukket igen på system, efter der er udført en port scanning på systemet. Dette indikerer oftest at systemet er forsøgt inficeret med LovSan, men er stoppet af et antivirus program. Disse systemer bør dog stadig undersøges, da disse systemer vil kører ustabilt og skal have indlæst Microsoft rettelsen. Noter derfor hvilke systemer, som har port 4444 åben, efter første gennemscanning. Systemer hvor LovSan er aktiv vil blive ved med at have port 4444 åben. Selv efter en portscanning. Disse systemer bør renses med det samme. Se nedenstående punkt, som beskriver fremgangsmåden. Check logfilerne fra den central firewall. De inficerede systemer vil forsøge at kontakte mange andre systemer via port 135 (den port som LovSan anvender til spredning). I logfilerne fra firewall'en, vil det være muligt, at finde de systemer, som har kraftig kommunikation på port 135 ud mod internettet. Opdateret 15/8 17:30 Vi har set tilfælde, hvor systemer, som er inficeret med LovSan ikke svarer på port 135 og port 4444. Derfor kan en portscanning på 3 porte (135, 445 og 4444) samtidigt være en fordel. Systemer som svarer på port 445 men ikke på port 135 eller 4444 bør undersøges, da de kan have LovSan aktiv. Vi har også set tilfælde, hvor LovSan inficerede systemer ikke har en åben port 4444 samtidig er port 135 og 445 stadig åbne, hvilket kan gøre det svært at finde alle inficerede systemer via portscan. Det er dog kun set i meget få tilfælde, og de systemer når der udføres scaning efter systemer, som manler at på opdateres med MS03-026 rettelsen. Information om opsætning af SuperScan version 4 kan findes her Opsporing af systemer som ikke er opdateret med Microsoft rettelsen Der er mange metoder at finde de systemer, som mangler at får indlæst rettelsen. Foundstone har frigivet RPCScan v1.01, et gratis værktøj, som kan scanne alle jeres ipadresser på en gang. Det kan anvende de samme ipadresselister som ovenstående SuperScan RPCScan fra www.foundstone.com Hvordan kan virus/orme af denne type stoppes i fremtiden? Det er nødvendigt at indføre procedurer således at alle systemer løbende opdateres med de vitale rettelser der frigives. Det er nødvendigt løbende at verificere at systemerne er opdateret med disse vitale rettelser. Det er ikke nok at bero på den beskyttelse en gateway firewall ud mod internettet giver. Der er mange "bagveje" en virus/orm kan komme ind på netværket via. Firewall beskyttelse på de enkelte systemer kan være en god løsning, og det vil blive fremtiden for at opnå den bedste beskyttelse. Intrusion detection systemer på de enkelte systemer eller/og centralt kan være en god løsning.

Information om sporing og rensning af W32/Lovsan.worm (Blaster) virus

Denne side beskriver hvordan W32/Lovsan.worm / Blaster inficerede systemer kan opspores i netværk og renses, samt hvilke procedurer der kan sikre systemer mod lignende angreb i fremtiden.

Siden vil løbende blive opdateret med relevant information. Vi modtager meget gerne feedback via email mcafee_support@ementor.dk eller på telefon 80 81 56 60.

Microsoft information og update What You Should Know About the Blaster Worm
McAfee's information om LovSan / Blaster

Rensning af inficerede systemer
Rensningen af et inficeret system bør udføres direkte lokalt på systemet. Informationerne findes også i vores FAQ
1. Start det inficerede system

2. Hvis systemet vil genstarte inden for 60 sekunder
Klik "Start" og "Run" eller "Kør" og skriv kommandoen "shutdown -a" og klik "Ok" for at afbryde genstarten.

3. Download og kør rettelsen fra Microsoft for at lukke hullet. Se nederst på denne side eller prøv med nedenstående link.
http://support.microsoft.com/default.aspx?scid=kb;en-us;823980 Se under punktet "RESOLUTION"

4. Download og kør McAfee Stinger for at fjerne denne virus. http://vil.nai.com/vil/stinger/

5. Genstart

6. Færdig

Beskyttelse med antivirus er ikke nok
RPC virus/orme som LovSan kan skabe problemer på systemer, som ikke er opdateret med Microsoft rettelsen MS03-026, selvom systemet kører med et opdateret og aktivt antivirus program.
Antivirus programmerne kan ikke forhindre en virus/orm i at angribe en sårbar port på systemet, og udnytter et hul eller en sårbarhed i systemet. Antivirus programmerne kan forhindre en virus/orm som prøver at kopiere sig ind på harddisken, og forhindre virus i at aktiveres fra harddisken.
Der betyder, at når LovSan angriber et system, som ikke er opdateret med Microsoft rettelsen, men har et aktivt og opdateret antivirus program, så kan det angrebne system stadig blive påvirket til at RPC servicen går ned, systemet åbner op for port 4444, systemet bliver ustabilt og andre uhensigtsmæssige ting. Antivirus programmet vil give en alarm og stoppe de filer som LovSan forsøger at skrive og aktivere på den lokale harddisk.
Det er derfor meget vigtigt, at sikkerheden på et system ikke kun bygger på antivirus programmet. Systemerne skal også opdateres med Microsoft rettelsen. MS03-026

Opsporing af inficerede systemer
Det kan være en uoverskuelig opgave at opspore de inficerede systemer i netværket. Det er dog muligt at spore inficerede systemer ved at scanne efter en åben port 4444 på alle systemer i netværket.
Her er et link til et gratis portscanner program, som hurtigt kan konfigureres til at scanne alle systemer, der har en åben port 4444, hvilket indikerer at de er inficeret eller forsøgt inficeret. Programmet kan let konfigureres til kun at scanne efter port 135 og port 4444, for herved at forøge scanningshastigheden.
SuperScan kan gratis hentes her: SuperScan fra www.foundstone.com
Bemærk at port 4444 kan blive lukket igen på system, efter der er udført en port scanning på systemet. Dette indikerer oftest at systemet er forsøgt inficeret med LovSan, men er stoppet af et antivirus program. Disse systemer bør dog stadig undersøges, da disse systemer vil kører ustabilt og skal have indlæst Microsoft rettelsen. Noter derfor hvilke systemer, som har port 4444 åben, efter første gennemscanning.
Systemer hvor LovSan er aktiv vil blive ved med at have port 4444 åben. Selv efter en portscanning. Disse systemer bør renses med det samme. Se nedenstående punkt, som beskriver fremgangsmåden.

Check logfilerne fra den central firewall. De inficerede systemer vil forsøge at kontakte mange andre systemer via port 135 (den port som LovSan anvender til spredning). I logfilerne fra firewall'en, vil det være muligt, at finde de systemer, som har kraftig kommunikation på port 135 ud mod internettet.

Opdateret 15/8 17:30
Vi har set tilfælde, hvor systemer, som er inficeret med LovSan ikke svarer på port 135 og port 4444. Derfor kan en portscanning på 3 porte (135, 445 og 4444) samtidigt være en fordel. Systemer som svarer på port 445 men ikke på port 135 eller 4444 bør undersøges, da de kan have LovSan aktiv.
Vi har også set tilfælde, hvor LovSan inficerede systemer ikke har en åben port 4444 samtidig er port 135 og 445 stadig åbne, hvilket kan gøre det svært at finde alle inficerede systemer via portscan. Det er dog kun set i meget få tilfælde, og de systemer når der udføres scaning efter systemer, som manler at på opdateres med MS03-026 rettelsen.
Information om opsætning af SuperScan version 4 kan findes her

Opsporing af systemer som ikke er opdateret med Microsoft rettelsen
Der er mange metoder at finde de systemer, som mangler at får indlæst rettelsen. Foundstone har frigivet RPCScan v1.01, et gratis værktøj, som kan scanne alle jeres ipadresser på en gang. Det kan anvende de samme ipadresselister som ovenstående SuperScan
RPCScan fra www.foundstone.com

Hvordan kan virus/orme af denne type stoppes i fremtiden?
Det er nødvendigt at indføre procedurer således at alle systemer løbende opdateres med de vitale rettelser der frigives.
Det er nødvendigt løbende at verificere at systemerne er opdateret med disse vitale rettelser.
Det er ikke nok at bero på den beskyttelse en gateway firewall ud mod internettet giver. Der er mange "bagveje" en virus/orm kan komme ind på netværket via.
Firewall beskyttelse på de enkelte systemer kan være en god løsning, og det vil blive fremtiden for at opnå den bedste beskyttelse.
Intrusion detection systemer på de enkelte systemer eller/og centralt kan være en god løsning.