image

E-mailworm besmet 500 computers energiecentrale

zondag 7 november 2010, 12:59 door Redactie, 12 reacties

Ondanks het gebruik van virusscanners wist de 'Here you have' worm in september vijfhonderd computers van een Amerikaanse energiecentrale en waterleverancier te infecteren. "Het deed geen goed", aldus Ty Moser, netwerkanalist van het Salt River Project. De visual basic worm glipte probleemloos langs de scanners van McAfee en Symantec, waardoor het zich ook binnen het netwerk van het nutsbedrijf kon verspreiden. Op besmette computers werd het adresboek gebruikt om nieuwe slachtoffers te mailen.

Defect
Het beste wapen bleek de security en information event management (SIEM) apparatuur te zijn, voor het oplossen van netwerkproblemen en het bieden van logmanagement. De apparatuur detecteerde het ongewone gedrag van de besmette computers, die met een onbekende server verbinding probeerden te maken en spam via Microsoft Outlook verstuurden.

Volgens Moser zorgde de SIEM-oplossing ervoor dat het automatiseringspersoneel de infecties handmatig kon verwijderen. McAfee en Symantec hadden ongeveer een dag nodig om de benodigde update uit te brengen, waarbij McAfee iets sneller was, aldus Moser. De netwerkanalist merkt op dat het duidelijk was dat de anti-virussoftware "niet werkte" in het blokkeren van de aanval.

Reacties (12)
07-11-2010, 13:11 door Anoniem
Dacht dat Windows afgeraden werd te gebruiken bij onder andere Kerncentrales.
07-11-2010, 13:36 door Anoniem
Door Anoniem: Dacht dat Windows afgeraden werd te gebruiken bij onder andere Kerncentrales.
Waarschijnlijk zijn de computers in kwestie machines die voor administratieve doeleinden gebruikt worden.
07-11-2010, 13:52 door sjonniev
Helaas werken "scanners" niet zo goed tegen 0-day dreigingen. Wat wel werkt is een goeie client firewall, Host Intrusion prevention, en Buffer Overflow prevention, maar dat schijnt nogal ingewikkeld te zijn in bovengenoemde producten.
07-11-2010, 13:59 door [Account Verwijderd]
[Verwijderd]
07-11-2010, 14:41 door Anoniem
onbegrijpelijk is dat het productie netwerk van de kerncentrale internet toegang heeft. Dit zal nooit mogen moeten wat je ook gebruikt. Internet toegang kan, maar hou dat gescheiden van je netwerk door het gebruik van losse pc's
07-11-2010, 14:42 door spatieman
dus de huishoudens hebben de samba gedanst op het knipperen van het licht.
07-11-2010, 16:24 door [Account Verwijderd]
[Verwijderd]
07-11-2010, 17:42 door Anoniem
Je kan beter Linux gebruiken bij de nutsbedrijven,dat is minder vatbaar voor virussen e.t.c.
07-11-2010, 22:29 door Anoniem
akkoord met Anoniem 14:41

daarbij, uit het artikel blijkt dat zowel mcafee als symantec op de toestellen stonden ? vragen voor problemen...
07-11-2010, 22:56 door MDMDumortier
Ja idd, dom dat ze windows gebruiken. Ik wist niet dat je zo'n virus dat virusscanners kan omzeilen kon maken in vb.
08-11-2010, 02:34 door Bitwiper
Door MDMDumortier: Ja idd, dom dat ze windows gebruiken. Ik wist niet dat je zo'n virus dat virusscanners kan omzeilen kon maken in vb.
Veel programmeurs schrijven sourcecode die voor veel anderen lastig te doorgronden is. Het is zo goed als onmogelijk om software (virusscanners) te maken die "begrijpen" wat bepaalde software doet en vervolgens te concluderen dat dit iets kwaadaardigs is (heuristische detectie zonder bergen false positives is een droom en dat blijft het; je kunt software niet zomaar als virus bestempelen omdat deze het adresboek raadpleegt en e-mails verstuurt; een legitiem mail-merge programma kan dit immers ook doen).

En mocht er een virusscanner zijn die dit desondanks een keer lukt, dan tweaken de virusmakers net zo lang totdat dit niet meer het geval is en verspreiden vervolgens die variant. Virusscanners werken simpelweg niet bij verse malware; kwestie van wachten tot de malware ter analyse terechtkomt bij de AV boeren, ze er een definitie voor maken, die hebben getest en vrijgegeven, en deze in jouw virusscanner is bijgewerkt. Met name rap verspreidende malware profiteert hiervan. Pech voor je als je in dat tijdvenster zit.

Het is trouwens best mogelijk dat kritische bedrijven (zoals centrales) virusdefinities een paar dagen op de plank laten liggen voordat ze ze op PC's installeren, want het zijn niet alleen virussen die computers platkrijgen (zie http://www.security.nl/artikel/33129/1/McAfee_legt_ziekenhuizen,_Intel_en_thuisgebruikers_plat.html).
08-11-2010, 07:57 door dackie
Het is trouwens ook zeer onwaarschijnlijk dat het productie netwerk hier is aangevallen. Meestal staat dit netwerk compleet los van het internet.

In dit geval lijkt het mij ook logischer dat er een office netwerk is aangevallen gezien het feit dat er naar adresboeken gekeken werd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.