Zakażone Windows NT

System Microsoftu został zaatakowany przez specyficznego wirusa. Program szybko rozprzestrzenia się w sieci, uszkadzając dokumenty Worda i Excela. Infekcji można jednak uniknąć.

System Microsoftu został zaatakowany przez specyficznego wirusa. Program szybko rozprzestrzenia się w sieci, uszkadzając dokumenty Worda i Excela. Infekcji można jednak uniknąć.

Serwery MCI, jednej z największych firm telekomunikacyjnych, zaatakowane zostały przez nie znanego dotychczas wirusa Remote Explorer. Atakuje on serwery i stacje robocze z systemem Windows NT i szybko powiela się w sieci NT.

Wirus tradycyjny

Remote Explorer jest wirusem tradycyjnym, tzn. przenoszonym przez pliki wykonywalne. Zainfekowany plik musi uruchomić osoba z uprawnieniami administratora systemu (nie musi to być administrator domeny - może to być lokalny administrator stacji roboczej z NT Workstation). W innym przypadku wirus nie uaktywni się. Jeśli jednak zdarzy się, że osoba z prawami administratora uruchomi plik, to wirus podmieni plik TASKMGR.SYS i utworzy nowy IE403R.SYS na lokalnym dysku twardym w katalogu %SYSTEMROOT%\SYSTEM32\DRIVERS. Korzystając z uprawnień zalogowanego w danej chwili administratora, wirus zainstaluje też nowy serwis systemowy o nazwie Remote Explorer. Serwis realizuje tylko jedną funkcję. Czeka na zalogowanie na lokalnej stacji roboczej użytkownika z uprawnieniami administratora domeny. Jeśli to nastąpi, program przystępuje do infekowania plików wykonywalnych w całej domenie. Jeśli kolejny lokalny administrator na następnej stacji uruchomi zainfekowany plik wykonywalny (może to być dowolny plik EXE), cały proces powtarzany jest od początku.

Remote Explorer wykonuje jeszcze jedno zadanie - szyfruje losowo wybrane dokumenty DOC i XLS, uniemożliwiając ich wykorzystywanie. Używa do tego nietypowego klucza o długości 608 bitów.

Inny niż wszystkie

Remote Explorer zajmuje aż 120 KB. Przedstawiciele firmy Network Associates International (NAI), którzy borykali się z problemem usunięcia wirusa w MCI, określili jego twórców jako "programistów wyjątkowo inteligentnych i znających na wylot system Windows NT". Wirus rozmnaża się w sieci przede wszystkim w godzinach popołudniowych i nocnych (15.00-6.00) oraz w weekendy, kiedy mniejsze jest prawdopodobieństwo, że systemy będą sprawdzane przez administratorów.

Remote Explorer znacznie trudniej usunąć niż inne wirusy. W dużych sieciach konieczne jest bardzo szybkie sprawdzenie wielu stacji roboczych i serwerów, by w tym czasie wirus nie przeniósł się na już sprawdzone komputery.

Jak sobie radzić?

Zainfekowanie systemów najłatwiej jest sprawdzić oglądając listy serwisów systemowych. Jeśli widoczny jest wśród nich Remote Explorer, należy niezwłocznie odłączyć stację od sieci. Według przedstawicieli NAI, nieskuteczne jest przestawianie pracy serwisu w tryb Disabled, a także usuwanie pliku IE403R.SYS - wirus automatycznie go odtworzy.

To, że na liście serwisów nie widnieje Remote Explorer, nie oznacza, iż na dysku nie ma pliku-nosiciela, który uaktywni wirusa po jego uruchomieniu przez administratora. W tym przypadku przydatne jest oprogramowanie antywirusowe wykrywające Remote Explorer.

Możliwe jest jednak praktycznie całkowite wyeliminowanie niebezpieczeństwa zarażania wirusem. Nie powinni mieć z nim problemu ci użytkownicy, którzy na co dzień przestrzegają podstawowych zasad bezpieczeństwa i w tej dziedzinie stosują się do wytycznych Microsoftu. Przede wszystkim należy przestrzegać zasady, że administratorzy logują się na konta z uprawnieniami administracyjnymi tylko wtedy, gdy mają uzasadniony powód (np. zmiana konfiguracji, założenie nowego konta itp.). Do innych zadań powinni używać konta bez praw administracyjnych.

Ponadto należy upewnić się, czy kontrolę nad lokalnymi kontami administracyjnymi na stacjach roboczych z Windows NT Workstation mają tylko uprawnieni administratorzy i nie logują się na nie zwykli użytkownicy.

Ważne jest też, by dysponować co najmniej jednym pakietem antywirusowym z licencją uprawniającą do jego okresowej aktualizacji. Umożliwi on usunięcie wirusa Remote Explorer wtedy, gdy "szczepionki" dla niego będą już dostępne.

Zamiast szczepionki

Remote Explorer to nowy typ wirusa atakującego komputery z Windows NT i rozprzestrzeniającego się za pośrednictwem sieci. Wirus szybko się powiela i skutecznie szyfruje dokumenty DOC i XLS. Aby nie zakazić nim komputerów, należy:

  • Rozdzielić funkcje administracyjne od zwykłych zadań (administratorzy powinni mieć dwa konta - ze zwykłymi uprawnieniami i uprawnieniami administracyjnymi).

  • Stosować co najmniej jeden pakiet antywirusowy.

  • Poinstruować użytkowników, by nie uruchamiali plików otrzymanych z "podejrzanego" źródła.

  • Regularnie monitorować system w poszukiwaniu serwisu Remote Explorer i szybko odseparowywać zainfekowane komputery.

  • W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200