
Kontaktinformationer Salg tlf.: +45 7080 8684 Support tlf.: +45 8740 7230 e-mail, adresser, fax og åbningstider Forside Produkter / Løsninger Atea produkter Atea Security Service Kursus oversigt Privat / hjemmebrug Priser McAfee McAfee løsninger McAfee Produkter DAT filer / SuperDAT-6058 Beta versioner / Beta DAT's Support Download licensversioner Download fra McAfee (Grant Nr.) McAfee.com Symantec Symantec Endpoint Protection Opstart & Licensing Portal Symantec kurser Trend Micro Trend Micro løsninger Trend Micro enterprise Trend Micro SMB Trend Micro konfigurator Trend Micro Gratis værktøjer Microsoft Forefront Licensiering Microsoft Forefront Download og beskrivelse Security Intelligence Report ScanSafe ScanSafe løsninger Anywhere+ ScanSafe login Barracuda Barracuda løsninger Websense Websense løsninger Imprivata Imprivata OneSign Download Gratis værktøj til rensning af virus Evaluering Gratis værktøjer / Free tools Services NyhedsService Sporing og rensning af virus Malware information Malware information Links Atea Microsoft Forefront Symantec Trend Micro	Information om sporing, rensning og anbefalinger vedr. W32/Sobig.f@MM virus/orm Denne side beskriver, hvordan W32/Sobig.f@MM-inficerede systemer kan opspores i netværk, samt hvilke handlinger, der kan hjælpe med at stoppe udbredelsen og misforståelser vedr. virus. Sobig.f anvender meget udbredte, konventionelle metoder til at sprede sig. Den er meget effektiv og kan sende mange tusinde email ud i timen. Det er set, at et inficeret system kan sende op imod 100.000 email i løbet af et døgn. De inficerede systemer sender email direkte ud på internettet udenom virksomhedens eksisterende mailserver. Derfor skal der andre metoder end mailscanning til at spore de inficerede systemer. Denne side vil løbende blive opdateret med relevant information. Vi modtager meget gerne feedback via email til mcafeesupport@ementor.dk eller på telefon 80 81 56 60. McAfee's information om W32/Sobig.f@MM samt PDF fil: Best Practices advisory for W32/Sobig.f@MM Rensning af inficerede systemer Rensningen af et inficeret system bør udføres lokalt på systemet. Dog giver McAfee ePO mulighed for at aktivere Stinger på inficerede systemer uden at skulle arbejde lokalt på dem 1. Start det inficerede system 2. Download og kør McAfee Stinger for at fjerne denne virus. http://vil.nai.com/vil/stinger/ 3. Opdater antivirus Opsporing af inficerede systemer og stoppe udbredelsen Det kan give problemer at opspore de inficerede systemer i netværket. Er der adgang til en firewalls logfiler, er det let at spore de inficerede systemer ved at se, hvilke systemer, der har meget kommunikation imod internettet på port 25 (SMTP). Det er vigtigt at sortere mailserverne fra, da det her er helt legalt, at de har meget kommunikation på port 25. En anden mulighed for sporing er, hvis DNS serverne står internt. Her kan det lade sig gøre - via logfiler på DNS serveren - at spore, hvilke systemer, der foretager mange MX record opslag. Inficerede systemer vil foretage rigtig mange MX record opslag for at finde den IPadresse, der hører til den mailadresse, den vil sende inficerede email til. Vi anbefaler at blokere for udgående port 25 (SMTP) trafik i firewall'en fra alle interne systemer på nær mailserverne og/eller andre systemer, der skal kunne sende post direkte ud på internettet. Det sikrer, at inficerede systemer ikke sender inficerede email ud fra jeres netværk. Konfiguration af centrale email scanner Det er ikke noget nyt, at vi på det kraftigste anbefaler at blokere email, som indeholder udvalgte filtyper. Blokering af email, som indeholder vedhæftede filer af typen .PIF og .SCR vil stoppe Sobig.f inficerede email, selv hvis email scanneren ikke er opdateret til at genkende den eller andre nye virus, som anvender disse filtyper. Det er en virkelig god og effektiv, proaktiv metode for at undgå nye og ukendte virus. Vi anbefaler blokering af følgende 12 filtyper som et minimum: VB SHS JS SCR HTA CMD BAT COM EXE PIF LNK WS Vi har en udvidet liste her: faq.mcafee.dk Send ikke advarsel tilbage til afsenderen Vi anbefaler at ændre på emailscannerkonfigurationen, således at den ikke sender en email tilbage til afsenderen af en inficeret email. Disse advarsler er årsag til store mængder email og forvirring. Den email adresse, der står som afsender på de inficerede email er med 99 % sikkerhed ikke emailadressen på den person, som sidder med det inficerede system. Derfor vil en advarsel til afsenderen ramme en helt uskyldig person og skabe mere unødig email trafik og forvirring hos uskyldig personer, hvis emailadresse misbruges af en virus. Bemærk: Næsten alle aktuelle virus, som anvender email som spredningsmetode, snyder med afsender adressen, og det er derfor formålsløst at sende en information tilbage til afsenderen. Slet inficerede email Med de voldsomme mængder af inficerede email, der sendes rundt, kan det give store problemer at placere inficerede email i karantæne eller sende en besked til modtageren om, at der er stoppet en inficeret email adresseret til dem. Vi anbefaler at slette de inficerede email, da det kan give plads problemer at flytte dem i karantæne på email scanningsserveren. Hvis det er muligt kan det desuden være en stor fordel at undgå at informere modtageren af de inficerede email. Det er spild af modtagerens tid. Det er ikke et andet menneske, der sender de inficerede email. Det er blot en virus, som vil gøre alt, hvad den kan, for at forøge sin udbredelse. Bloker for udvalgte eksterne inficerede systemer Hvis der opleves et voldsom pres på de indgående emailservere på grund af store mængder inficerede email, kan det være formålstjenligt at blokere for indgående port 25 (SMTP) kommunikationen fra disse systemer. Det er f.eks. muligt, ved hjælp af WebShield SMTP logfilerne mail.log og virus.log samt Ementor's WebShield Virus Log program, at få et overblik over, hvilke ipadresser/domain navne, som afleverer inficerede email til jeres emailadresser. Ud fra denne ipadresseliste, kan der oprettes regler i firewall'en, som kan blokere for indgående port 25 trafik fra disse eksterne inficerede systemer, som sender de fleste inficerede email.

Information om sporing, rensning og anbefalinger vedr. W32/Sobig.f@MM virus/orm

Denne side beskriver, hvordan W32/Sobig.f@MM-inficerede systemer kan opspores i netværk, samt hvilke handlinger, der kan hjælpe med at stoppe udbredelsen og misforståelser vedr. virus. Sobig.f anvender meget udbredte, konventionelle metoder til at sprede sig. Den er meget effektiv og kan sende mange tusinde email ud i timen. Det er set, at et inficeret system kan sende op imod 100.000 email i løbet af et døgn. De inficerede systemer sender email direkte ud på internettet udenom virksomhedens eksisterende mailserver. Derfor skal der andre metoder end mailscanning til at spore de inficerede systemer.

Denne side vil løbende blive opdateret med relevant information. Vi modtager meget gerne feedback via email til mcafeesupport@ementor.dk eller på telefon 80 81 56 60.

McAfee's information om W32/Sobig.f@MM
samt PDF fil: Best Practices advisory for W32/Sobig.f@MM

Rensning af inficerede systemer
Rensningen af et inficeret system bør udføres lokalt på systemet. Dog giver McAfee ePO mulighed for at aktivere Stinger på inficerede systemer uden at skulle arbejde lokalt på dem

1. Start det inficerede system

2. Download og kør McAfee Stinger for at fjerne denne virus. http://vil.nai.com/vil/stinger/

3. Opdater antivirus

Opsporing af inficerede systemer og stoppe udbredelsen
Det kan give problemer at opspore de inficerede systemer i netværket. Er der adgang til en firewalls logfiler, er det let at spore de inficerede systemer ved at se, hvilke systemer, der har meget kommunikation imod internettet på port 25 (SMTP). Det er vigtigt at sortere mailserverne fra, da det her er helt legalt, at de har meget kommunikation på port 25. En anden mulighed for sporing er, hvis DNS serverne står internt. Her kan det lade sig gøre - via logfiler på DNS serveren - at spore, hvilke systemer, der foretager mange MX record opslag. Inficerede systemer vil foretage rigtig mange MX record opslag for at finde den IPadresse, der hører til den mailadresse, den vil sende inficerede email til.

Vi anbefaler at blokere for udgående port 25 (SMTP) trafik i firewall'en fra alle interne systemer på nær mailserverne og/eller andre systemer, der skal kunne sende post direkte ud på internettet. Det sikrer, at inficerede systemer ikke sender inficerede email ud fra jeres netværk.

Konfiguration af centrale email scanner
Det er ikke noget nyt, at vi på det kraftigste anbefaler at blokere email, som indeholder udvalgte filtyper. Blokering af email, som indeholder vedhæftede filer af typen .PIF og .SCR vil stoppe Sobig.f inficerede email, selv hvis email scanneren ikke er opdateret til at genkende den eller andre nye virus, som anvender disse filtyper. Det er en virkelig god og effektiv, proaktiv metode for at undgå nye og ukendte virus.
Vi anbefaler blokering af følgende 12 filtyper som et minimum:
VB SHS JS SCR HTA CMD BAT COM EXE PIF LNK WS
Vi har en udvidet liste her: faq.mcafee.dk

Send ikke advarsel tilbage til afsenderen
Vi anbefaler at ændre på emailscannerkonfigurationen, således at den ikke sender en email tilbage til afsenderen af en inficeret email. Disse advarsler er årsag til store mængder email og forvirring. Den email adresse, der står som afsender på de inficerede email er med 99 % sikkerhed ikke emailadressen på den person, som sidder med det inficerede system. Derfor vil en advarsel til afsenderen ramme en helt uskyldig person og skabe mere unødig email trafik og forvirring hos uskyldig personer, hvis emailadresse misbruges af en virus.
Bemærk: Næsten alle aktuelle virus, som anvender email som spredningsmetode, snyder med afsender adressen, og det er derfor formålsløst at sende en information tilbage til afsenderen.

Slet inficerede email
Med de voldsomme mængder af inficerede email, der sendes rundt, kan det give store problemer at placere inficerede email i karantæne eller sende en besked til modtageren om, at der er stoppet en inficeret email adresseret til dem.
Vi anbefaler at slette de inficerede email, da det kan give plads problemer at flytte dem i karantæne på email scanningsserveren.
Hvis det er muligt kan det desuden være en stor fordel at undgå at informere modtageren af de inficerede email. Det er spild af modtagerens tid. Det er ikke et andet menneske, der sender de inficerede email. Det er blot en virus, som vil gøre alt, hvad den kan, for at forøge sin udbredelse.

Bloker for udvalgte eksterne inficerede systemer
Hvis der opleves et voldsom pres på de indgående emailservere på grund af store mængder inficerede email, kan det være formålstjenligt at blokere for indgående port 25 (SMTP) kommunikationen fra disse systemer.
Det er f.eks. muligt, ved hjælp af WebShield SMTP logfilerne mail.log og virus.log samt Ementor's WebShield Virus Log program, at få et overblik over, hvilke ipadresser/domain navne, som afleverer inficerede email til jeres emailadresser. Ud fra denne ipadresseliste, kan der oprettes regler i firewall'en, som kan blokere for indgående port 25 trafik fra disse eksterne inficerede systemer, som sender de fleste inficerede email.