Eliminant el virus neeris d’una instal·lació de 60 ordinadors

IMG_0301 - portada_cutLa proppassada nit vaig estar eliminant el virus neeris de la instal·lació d’una empresa amb més de 60 ordinadors.

Neeris és un virus del tipus worm (cuc), i va ser el responsable fa dos mesos, de deixar fora de combat xarxes de l’FBI i la dels US Marshals.

El primer que cal fer quan ens enfrontem a un virus és conèixer-lo. Saber com es propaga, quins efectes té, quins disgustos ens pot comportar… i com eliminar-lo.

En planes confiables vaig identificar el virus i el seu comportament:

http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=78259

http://vil.nai.com/vil/content/v_166370.htm

http://emea.windowsitpro.com/Windows/article/articleid/101846/new-worm-named-neeris-mimics-conficker.html

Bàsicament les característiques d’aquest virus són:

– Només afecta a Windows

– Es pot transmetre mitjançant messenger

– Una de les formes de contagi és com extensió .SCR (salva pantalles)

– El binari d’infecció infla (crea) altres fitxers dins de windows/system

– Obre una porta del darrera (backdoor) per a que atacants puguin accedir a l’ordinador i fer-se amb el control i injectar-hi més virus i programari maliciós

– Es copia a les carpetes de xarxa

– Modifica els indrets on es copia de manera que insereix uns fitxers d’autorun (inici automàtic) de manera que els ordinadors amb l’inici automàtic de carpetes, cd’s, dispositius usb… s’infectin (si no tenen un antivirus, que el detecti, activat). Per defecte els sistemes windows vénen amb l’autorun activat.

– S’amaga de la llista de tasques per a no ser detectat.

– Es carrega a l’inici amb windows, i infecta també el mode d’inici a prova de falles.

– No és un virus que destrueixi fitxers, ni infecti altres executables, ni infecti arxius d’office.

A més a més vaig comprovar com a conseqüència dels intents d’aquest virus de propagar-se, la xarxa es col·lapsava i les aplicacions que feien ús de bases de dades i altres servidors, no funcionaven bé o estaven sobrecarregats perquè l’antivirus estava bloquejant tots els intents.

Plà d’acció

Un cop identificada la seva perillositat, procedir amb les següents operacions:

IMG_0291-bona_cut1. Desconnectar la xarxa (switch) de manera que tots els ordinadors quedin desconnectats, i no puguin infectar altres ordinadors, ni ser controlats remotament

2. Baixar en un ordinador net, la darrera versió de l’antivirus, amb les definicions de virus més actualitzades. Gravar-ho en un CdRom i tancar el disc (mode de gravació) de manera que sigui compatible amb tots els ordinadors i ja no es pugui tornar a escriure en el CdRom, això evitarà que un virus pugui infectar el Cdrom. En aquest cas utilitzarem l’antivirus Trend Micro puig era la versió que tenia comprada l’empresa.

3. En aquells ordinadors que no tenien antivirus, li el vam instal·lar. I un cop instal·lat, vam reiniciar. En els ordinadors que tenien l’antivirus instal·lat vam actualitzar la definició de virus, amb la versió més actual.

4. Un cop iniciat l’ordinador, el motor realtime scan (escaneig en temps real) no permet que s’executi el virus en memòria. Aquest motor no pot esborrar els virus, però impedeix que es carreguessin en memòria.

IMG_0297_cut5. Passar l’escaneig de l’antivirus a tots els discs durs (això s’ha de fer amb tots els ordinadors)

6. Els virus trobats, són eliminats, esmenats els fitxers, o bé posats en quarantena.

7. En cabat, reiniciem l’ordinador, i tornem a escanejar l’ordinador. Ara ja no hauria de detectar virus puig ja han estat eliminats o posats en quarantena i no s’han pogut carregar a l’inici gràcies a l’efectiu bloqueig del realtime scan.

8. Si detecta algun virus i no el pot posar en quarantena (el mou a un indret on en desactiva l’execució) perquè el fitxer és bloquejat, es pot matar des de l’administrador de tasques, llavors l’antivirus ja no el detectarà.

9. Reiniciar i passar l’escaneig una altra vegada.

IMG_0299-_cut10. Un cop tots els equips són nets, es poden tornar a connectar en xarxa.

És important que els usuaris treballin amb permisos d’usuari, i no d’administrador, per tal d’evitar que instal·lin tot el que vulguin o que els virus tinguin el màxim nivell de privilegi si l’usuari infecta l’ordinador (amb una clau usb, o un cuc descarregat del messenger, etc…)

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Tags: ,

2.435 visualitzacions - versió en PDF

També us podria resultar interessant:

Comments are closed.