Mer spesifikk informasjon om hver enkelt dataorm:

Mer informasjon om de forskjellige sikkerhetshullene finner du ved å benytte disse linkene:

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

http://www.norman.com/Virus/Security_Advisory/12744 

http://www.lurhq.com/lsassadvisory.html 

http://www.microsoft.com/technet/security/bulletin/MS04-007.mspx  

Dataormene

Systemer som spesielt er utsatt er: 
Windows 2000 Professional, Windows 2000 Server, Windows XP 

De første dataormene som er utviklet for å utnytte sikkerhetshullene er W32.Sasser.worm og W32.Gaobot. Med stor sannsynlighet vil et stort antall dataormer bli utviklet til nettopp dette formålet. Av de dataormene som allerede er innrapportert til de stor antivirusselskapene, har det i løpet av de siste dagene blitt oppdaget opp til flere varianter.

Antivirusselskapene setter selv navn på dataormene, og de kan derfor variere noe fra selskap til selskap. Videre i denne artikkelen vil vi referere til de første dataormene av denne typen som Sasser og Gaobot.

Mer teknisk informasjon om de ulike variantene er publisert hos de forskjellige antivirusselskaper. Noen av disse er listet under:

Norman: www.norman.no 
Symantec: www.sarc.com 
Trend Micro: www.trend.com 



Mer spesifikk informasjon om hver enkelt dataorm :

W32.Sasser.worm

Dersom din maskin er smittet med dataormen Sasser bør man være oppmerksom på følgende:
Dataormen kan forårsake omstart av datamaskinen
En smittet datamaskin vil ha minst 1 av følgende prosesser kjørende
Avserve.exe 
Avserve2.exe 
Prosesser med 4-5 tall + _up.exe (f. eks 23345_up.exe)
Dataormen starter en FTP server på port TCP 5554, som den benytter til å kopiere seg selv videre til andre datamaskiner
Dataormen forsøker koble seg opp mot tilfeldig genererte IP adresser på port TCP 445. Dersom dataormen klarer koble seg opp mot en annen maskin, vil den forsøke å ta kontroll over datamaskinen. Dette gjør den ved å sende kode som oppretter en FTP forbindelse, på port TCP 5554, for så å laste ned en kopi av dataormen fra den allerede infiserte maskinen.
Navnet på denne kopien vil bestå av 4-5 tall + _up.exe (f. eks 2334_up.exe)

Sasser er i skrivende stund ute i 3 varianter og sprer seg meget raskt. Ytterligere informasjon om de forskjellige variantene kan du finne her: 

Symantec: 
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html  http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html 
http://www.sarc.com/avcenter/venc/data/w32.sasser.c.worm.html 

Norman: 
http://www.norman.com/Virus/Virus_descriptions/14919/no 

Microsoft:
http://www.microsoft.com/security/incident/sasser.asp 


Hvordan kan du fjerne dataormen Sasser, dersom datamaskinen din er smittet? 

For at dataormen kan fjernes, krever dette at du har oppdatert din datamaskin med de seneste sikkerhetsoppdateringer. Dersom ikke oppdateringer gjøres før dataormen fjernes vil datamaskin med stor sannsynlighet bli infisert på nytt. De siste sikkerhetsoppdateringene finner du her:

http://windowsupdate.microsoft.com 

Symantec, Trend Micro, F-Secure og andre antivirusselskaper har laget verktøy som kan hjelpe til med å fjerne dataormen Sasser. Benytt eksempelvis en av følgende verktøy for å fjerne dataormen.

Symantec:

http://securityresponse.symantec.com/avcenter/FxSasser.exe 

Trend Micro: 

http://no.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com 

F-Secure: 

ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.zip 

Vi gjør oppmerksom på at alle brukere av Windows XP eller Windows ME bør koble ut funksjonen Microsoft Windows System Restore før man forsøker å fjerne dataormen, slik at ikke Windows reverserer slettingen etterpå. 

HjemiT  kan ikke påta seg noe ansvar for eventuelle konsekvenser som måtte følge av at disse beskrivelsene følges. Beskrivelsene er dog utarbeidet av erfarne og seriøse antivirusselskaper. De er også testet i begrenset omfang hos HjemiT .

W32.Gaobot 

Dersom din maskin er smittet med dataormen Gaobot bør man være oppmerksom på at dataormen forsøker gjøre følgende handlinger:
Terminere prosesser til antivirusprogrammer og andre sikkerhetsprogram
Terminere prosesser som er blitt satt i gang av forskjellige andre dataormer
irun4.exe
Ssate.exe
i11r54n4.exe
winsys.exe
ssgrate.exe
d3dupdate.exe
bbeagle.exe

Sende http POST meldinger med store mengder data til utvalgte verter rundt om på Internett
Åpne tilfeldige TCP porter og sender en kopi av seg selv til datamaskiner som kobler seg opp mot denne prosessen 
Ved at dataormen kobler seg opp mot en fjernstyrt IRC kanal, gir dette kontroll til å utføre forskjellige oppgaver med den infiserte datamaskinen. Med andre ord vil dette si at andre kan ha full kontroll over den infiserte datamaskinen
Ved hjelp av hardkodede brukernavn og passord forsøker dataormen å kopiere seg selv til mapper som deles i nettverk
Når delingen er utført aktiveres dataormen 

Det er i skrivende stund minst 3 varianter av Gaobot (AFC, AFJ og AFW) som benytter seg av de nevnte sikkerhetshullene. Dataormene sprer seg ikke like raskt som Sasser, men er vesentlig mer problematiske. De inneholder bakdører som kan gjør det mulig for andre å kontrollere de infiserte maskinene. Samtidig smitter dataormen via flere av sikkerhetshullene som er oppdaget. Gaobot kan også nyttegjøre seg av datamaskiner som er smittet av andre dataormer. 

Mer informasjon om dataormen W32.Gaobot: 

Symantec: 

http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.afc.html  http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.afj.html  http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.afw.html 

Hvordan kan du fjerne dataviruset Gaobot, dersom datamaskinen din er smittet?

For at dataormen kan fjernes, krever dette at du har oppdatert din maskin med de seneste sikkerhetsoppdateringer. Dersom ikke oppdateringer gjøres før dataormen fjernes vil datamaskin med stor sannsynlighet bli infisert på nytt. De siste sikkerhetsoppdateringene finner du her:

http://windowsupdate.microsoft.com 

Det er dessverre foreløpig ikke laget noen verktøy som kan hjelpe deg med å fjerne dataormen Gaobot, men linkene under forklarer hvordan man manuelt fjerner dataormen.

Symantec:

http://www.sarc.com/avcenter/venc/data/w32.gaobot.afj.html#removalinstructions 

Hvordan kan du sjekke om datamaskinen din er smittet av overnevnte dataormer? 

Er du bekymret for at din datamaskin er blitt smittet av en av de nevnte variantene av dataormen Sasser eller Gaobot, anbefaler vi følgende: 

For de som ikke har installert et oppdatert antivirusprogram finnes det online antivirusprogramvare som kan benyttes til å sjekke din datamaskin (uten å installere programvare på vanlig måte). Programmene installere seg selv som en Active-X eller Java komponent (noe flere er motstander av). Vi finner det dog neppe særlig risikabelt å benytte online antivirus løsningene nedenfor.

Symantec security response har laget et verktøy som finner de aller fleste kjente virus. Dette verktøyet kan kjøres direkte fra denne linken: 

http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym 

Klikk på "Start" under "Virus Detection". Deretter må du svare Ja/Yes på å kjøre verktøyet. NB! Dette kan ta noe tid og du ma ha Internet Explorer eller annen kompatibel nettleser for å kjøre den. 

Trend har et tilsvarende verktøy som heter HouseCall. Dette finner du her: 

http://no.trendmicro-europe.com/enterprise/products/housecall.php 

Klikk på "Start Housecall Now!" Deretter må du svare Ja/Yes på å kjøre verktøyet. NB! Dette kan ta noe tid. 

Vær oppmerksom på at dersom en dataorm får kontroll over en datamaskin, er det ikke alltid online antivirusløsninger vil fungere. Dette skyldes at man ved enkelte tilfeller må starte datamaskinen i sikkerhetsmodus før man med sikkerhet kan finne og fjerne dataormen. Den beste løsningen er i alle tilfeller å ha en oppdatert antivirusløsning lokalt på maskinen.  (se her for tilbud Symantec Norton -Åpnes i nytt vindu)

Hva kan gjøres for å unngå å bli smittet i fremtiden? 

Når man har mulighet til å være kontinuerlig tilkoblet Internett, krever dette at datamaskinen er forsvarlig sikret til enhver tid. Det er nærmest påkrevd å ha installert antivirusprogrammer som oppdateres daglig. Om du ikke allerede har antivirusprogram på din datamaskin anbefaler vi at du går til anskaffelse av dette.

På vår shop (http://www.SHOP.HjemiT.no ) vil dere finne et tilbud på Symantec Nortons  prisbelønte Virus Control, som er et av de ledende antivirus programmene på markedet.

Man bør aldri åpne vedlegg til e-post meldinger som: 
kommer fra avsendere man ikke kjenner 
har et uvanlig emne, innhold eller vedlegg, eksempelvis utelukkende engelsk tekst 
har innhold eller vedlegg man ikke forventer å motta

Videre bør alle maskiner med Microsoft Windows holdes oppdatert med de seneste sikkerhetsoppdateringer: http://windowsupdate.microsoft.com 

Alle rettighetsbeskyttede navn og merkevarenavn som er benyttet i denne artikkelen tilhører sine respektive eiere.

Er din pc infisert av et spesielt virus? 
-Klikk på navnet i listen nedenfor og du får mer info om hva viruset gjør, 
om det er skadelig og hvordan du evt. skal fjerne det. Det finnes gratis "gjør det selv verktøy"
 
- Trenger du vår hjelp for virusrens? 
- Ta kontakt vi gjør dette for en rimelig penge! 99 707 606

- Ønsker du info evt. kjøpe de siste oppdaterte virusverktøyene for 
installasjon på din pc(er)  
- send en e-post. til post@hjemit.no  eller Klikk HER
- Disse skanner din e-post både ut/inn, og oppdaterer seg automatisk over Internett. 
Hindrer søppelpost m.m

NB!
Vi rykker ut kun i Rogaland ;- Sandnes - Sola - Stavanger området.
 "- No cure No pay!"

Om vi ikke greier å kurere, betaler du ikke for jobben!
(kun et fremmøtegebyr på kr. 200 - 250,-)