Trojan legt gemeentelijk netwerk van Weert plat
Het gemeentelijke computernetwerk van het Limburgse Weert is uit de lucht gehaald nadat computers besmet zijn geraakt met een variant op het Sasfis-trojan. De malware zou door de gebruikte antivirussoftware niet zijn herkend.
Volgens de gemeente Weert heeft de Sasfis-trojan zich sinds dinsdag op het interne gemeentenetwerk weten te verspreiden. Om verdere verspreiding te voorkomen en de malware op te ruimen, is besloten het gehele netwerk uit de lucht te halen. Dit heeft tot gevolg dat de dienstverlening naar de burger is beperkt. Zo kunnen er geen paspoorten afgehaald worden.
Hoe lang de opschoonactie bij de gemeente Weert gaat duren, is nog niet geheel duidelijk. Tot die tijd blijft de gemeente wel telefonisch bereikbaar. Ook de website is nog in de lucht. De malware zou zich hebben kunnen verspreiden op het interne netwerk doordat het om een nieuwe variant ging van de Sasfis-trojan. Deze versie zou niet door de gebruikte antivirussoftware herkend worden.
De Sasfis-malware weet zich volgens Symantec met behulp van Word te installeren op een pc en kan op afstand aangestuurd worden, bijvoorbeeld om spam te verspreiden. De gemeente Weert waarschuwt dan ook om e-mails die afkomstig lijken van de gemeente en een attachment bevatten niet te openen.
Reacties (87)
Voor zover je dat a.d.h.v. een artikel kan beoordelen is er i.i.g. kordaat gereageerd 
Inderdaad wel goed gedaan ja. Gewoon het hele netwerk platleggen en stuk voor stuk alles schoonmaken. Je kunt de systeembeheerders in ieder geval geen laksheid verwijten. Ook mooi dat de managers hiermee akkoord zijn gegaan
Maar je kan een gemeente niet dicht houden. Er de geinfecteerde afsluiten de andere door laten gaan
Gemeente was niet dicht. Mensen konden nog steeds bellen of bij de balie langsgaan. Alleen kan niet alles gedaan worden op het moment.
de gemeente is ook niet dicht, maar de dienstverlening is 'beperkt'
het is juist heel goed wat ze gedaan hebben, wie weet wat de kwaadwillende heeft kunnen doen met de gegevens van de gemeente, stel dat jij daar woont en het blijkt achteraf dat de gemeente alles in de lucht heeft gehouden om vervolgens jouw gegevens te zien worden gebruikt voor allerhande malafide praktijken?
Wat dat betreft, juiste en correcte actie, nu kunnen ze op een degelijke manier alles opschonen en weer haar burger op een veilige manier bedienen.
het is juist heel goed wat ze gedaan hebben, wie weet wat de kwaadwillende heeft kunnen doen met de gegevens van de gemeente, stel dat jij daar woont en het blijkt achteraf dat de gemeente alles in de lucht heeft gehouden om vervolgens jouw gegevens te zien worden gebruikt voor allerhande malafide praktijken?
Wat dat betreft, juiste en correcte actie, nu kunnen ze op een degelijke manier alles opschonen en weer haar burger op een veilige manier bedienen.
Zeker niet, je kan prima een afspraak hebben met een ambtenaar of een sociaal raadsheer of wie dan ook, zonder dat daar direct het computernetwerk bij nodig is.Dat is dus hetzelfde.
Een vergunning laten printen of iets in die trant zal lastiger worden, al kun je ongetwijfeld de ingevulde formulieren etc gewoon achterlaten zodat die als het netwerk weer in de lucht is afgehandeld kunnen worden.
Nee maar dat is dus niet alle functionaliteit van een gemeentehuis.
Je verlengt je paspoort toch al niet vlak voor de vakantie dus dat maakt niets uit.Maar je paspoort ophalen omdat je op vakantie gaat kan niet...
En dat is heel erg belangrijke informatie in deze kwestie? of is dit gewoon een simpele bash naar windows?
Je zou ook kunnen denken "goh, zou ik me zorgenmoeten maken met m'n Apple als ik word/excel gebruik"
Inderdaad tegen nieuwe versies van o.a. Trojans is relatief weinig te doen wellicht scannen op ongebruikelijk netwerkverkeer o.i.d. Maar we hebben het hier over een relatief kleine gemeente en niet over het ministerie van defensie.
Kordaat, schadebeperkend gehandeld.
Kordaat, schadebeperkend gehandeld.
Inderdaag, zo zijn wij Weertenaren 
Ik hoef gelukkig geen nieuw paspoort ofzo, maar mijn vrouw haar identiteitsbewijs ligt nu dus daar...
Ik hoef gelukkig geen nieuw paspoort ofzo, maar mijn vrouw haar identiteitsbewijs ligt nu dus daar...
In tegenstelling tot wat het artikel beweerd zit het virus/de trojan niet in een word doc, maar gebruikt het enkel word om zich te nestelen, pas NA dat het bestandje is uitgevoerd door iemand. En is Word maar één van de mogelijkheden. Voor beide situaties zijn administrator rechten overigens alsnog verplicht.
Incompetente gemeente.
Dit is een trojan die je zelf uit moet voeren. voordat 'ie effect kan hebben. Dat betekent maar één ding; policies niet op orde. Het feit dat iemand mail attachments of downloaded .exe's als administrator uit kan voeren op de workstations is te achterlijk voor woorden. Incompetente IT'ers dus, net als bij bijna iedere gemeente in NL.
Echt er is geen manier waarop dit niet te wijten is aan pure incompetentie van de IT afdeling. Iedere LTS zwakstroomscholier weet dat je niet zomaar .exejes moet uit gaan lopen voeren, maar nee, in Weert weten ze daar niets van.
Er kunnen 2 scenario's zijn geweest; 1. de gebruiker heeft de .exe mailattachment of downloaded file via de browser als administrator uitgevoerd, betekent falen van de IT afdeling want dit zou geblokkeerd moeten zijn. Of vanuit een eigen USB stick, wederom zou dit geblokkeerd moeten zijn.
2. De IT afdeling zelf heeft het virus verkregen door 't uitvoeren van een onbekend .exe bestandje en in dat geval is strafrechtelijk vervolgen wel het minst wat je kunt doen.
Volgens mij begrijpt het beperkte intellect van het figuur onder mij de verstrekkende gevolgen niet helemaal van een 'hack' die overduidelijk een menselijke fout is. Op deze manier zijn alle gegevens van de inwoners van zo'n gemeente beschikbaar. Identiteitsdiefstal is op deze manier kinderspel en het aanpassen van belangrijke gegevens al helemaal. Dit zijn dingen die strafrechtelijk vervolgd moeten worden. Want je wilt echt niet dat iemand jouw identiteit jat. Dat de ietwat verstandelijk beperkte "rataplan_" dat niet begrijpt, kan ik ook weinig aan doen.
Als je namelijk als IT'er toestaat dat je medewerkers toolbars in hun browser installeren, dien je als IT'er als de sodemieter bij ieder electronisch apparaat uit de buurt te blijven, want dan ben je duidelijk te achterlijk voor enige vorm van technische functie. Ik hoop ook dat het figuur hieronder nooit in een enigszins verantwoordelijke functie terechtkomt, want met zo'n houding is de schade in de IT niet te overzien.
Overigens zijn de meeste hacks op 't moment van grote bedrijven vaak te wijten aan softwarefouten en vulnerabilities en niet menselijke fouten van dit kaliber. Ik heb jaren ervaring in de IT van het ambtelijk apparaat en het is echt te idioot voor woorden wat voor incompetente figuren daar soms aangesteld worden.
Incompetente gemeente.
Dit is een trojan die je zelf uit moet voeren. voordat 'ie effect kan hebben. Dat betekent maar één ding; policies niet op orde. Het feit dat iemand mail attachments of downloaded .exe's als administrator uit kan voeren op de workstations is te achterlijk voor woorden. Incompetente IT'ers dus, net als bij bijna iedere gemeente in NL.
Echt er is geen manier waarop dit niet te wijten is aan pure incompetentie van de IT afdeling. Iedere LTS zwakstroomscholier weet dat je niet zomaar .exejes moet uit gaan lopen voeren, maar nee, in Weert weten ze daar niets van.
Er kunnen 2 scenario's zijn geweest; 1. de gebruiker heeft de .exe mailattachment of downloaded file via de browser als administrator uitgevoerd, betekent falen van de IT afdeling want dit zou geblokkeerd moeten zijn. Of vanuit een eigen USB stick, wederom zou dit geblokkeerd moeten zijn.
2. De IT afdeling zelf heeft het virus verkregen door 't uitvoeren van een onbekend .exe bestandje en in dat geval is strafrechtelijk vervolgen wel het minst wat je kunt doen.
Volgens mij begrijpt het beperkte intellect van het figuur onder mij de verstrekkende gevolgen niet helemaal van een 'hack' die overduidelijk een menselijke fout is. Op deze manier zijn alle gegevens van de inwoners van zo'n gemeente beschikbaar. Identiteitsdiefstal is op deze manier kinderspel en het aanpassen van belangrijke gegevens al helemaal. Dit zijn dingen die strafrechtelijk vervolgd moeten worden. Want je wilt echt niet dat iemand jouw identiteit jat. Dat de ietwat verstandelijk beperkte "rataplan_" dat niet begrijpt, kan ik ook weinig aan doen.
Als je namelijk als IT'er toestaat dat je medewerkers toolbars in hun browser installeren, dien je als IT'er als de sodemieter bij ieder electronisch apparaat uit de buurt te blijven, want dan ben je duidelijk te achterlijk voor enige vorm van technische functie. Ik hoop ook dat het figuur hieronder nooit in een enigszins verantwoordelijke functie terechtkomt, want met zo'n houding is de schade in de IT niet te overzien.
Overigens zijn de meeste hacks op 't moment van grote bedrijven vaak te wijten aan softwarefouten en vulnerabilities en niet menselijke fouten van dit kaliber. Ik heb jaren ervaring in de IT van het ambtelijk apparaat en het is echt te idioot voor woorden wat voor incompetente figuren daar soms aangesteld worden.
[Reactie gewijzigd door Sleep0rz op 9 augustus 2012 13:29]
Relax gast! Strafrechtelijk vervolgen, ben je wel goed bij je hoofd? Typisch gevalletje 'ik weet alles beter'...
Admin rechten afnemen is heus niet afdoende om zooi geinstalleerd te krijgen. Kijk naar IE toolbars, installeren van bv DropBox / Chrome, of andere apps die in je profiel installeren ipv %programfiles%. En ja, natuurlijk kan je ook dat dichttimmeren en afvangen, maar het is te kort door de bocht om te schreeuwen dat je zonder admin-rechten deze trojan geen kans had gegeven. En dan nog, om zo'n afdeling als compleet incompetent te beschouwen... beetje faal actie. Hoeveel grote bedrijven worden er de laatste tijd gehackt. Andere vorm van cybercrime, maar noem je dat ook incompetentie?
Ga eens lekker op vakantie.
Admin rechten afnemen is heus niet afdoende om zooi geinstalleerd te krijgen. Kijk naar IE toolbars, installeren van bv DropBox / Chrome, of andere apps die in je profiel installeren ipv %programfiles%. En ja, natuurlijk kan je ook dat dichttimmeren en afvangen, maar het is te kort door de bocht om te schreeuwen dat je zonder admin-rechten deze trojan geen kans had gegeven. En dan nog, om zo'n afdeling als compleet incompetent te beschouwen... beetje faal actie. Hoeveel grote bedrijven worden er de laatste tijd gehackt. Andere vorm van cybercrime, maar noem je dat ook incompetentie?
Ga eens lekker op vakantie.
Ik denk niet dat dat helemaal juist is. Ik kan echt geen dropbox op mijn laptop-vd-zaak installeren omdat ik geen administrator-rechten heb. Zelfs voor het installeren van een printer heb ik de helpdesk nodig die tijdelijk de rechten toekend als je een goede reden hebt.
Als chrome zich kan installeren en runnen zonder admin rechten dan zal het voor trojans ook niet zo'n probleem zijn.
Als jij als IT beheerder het uberhaubt toestaat dat mensen willekeurige .exe bestandjes installeren (waaronder chrome) door middel van het verkloten van je policies, ben je zo onbekwaam bezig dat ik vind dat dat strafrechtelijk vervolgd moet kunnen worden als dat zo ver strekkende gevolgen heeft als in deze situatie. De persoonlijke gegevens van alle inwoners van de gemeente liggen op deze manier op straat, puur door incompetentie van de IT afdeling. Ik heb bij genoeg gemeentes gewerkt om te weten dat het bijna overal een incompetente bende is.
Device drivers kan je in de regel niet installeren als user nee. En zoals ik al aangaf KAN je inderdaad zoiets als DropBox of Chrome installaties (of welke installatie dan ook) wel blokkeren. Maar er zijn steeds meer applicaties die je zonder admin-rechten kan installeren als jet het dus niet expliciet verbiedt. Daarnaast kan je als user-zijnde bijvoorbeeld gewoon mail sturen uiteraard, dus waarom kan een ander process (lees: trojan of andere rommel) wat onder jouw user-context draait dat niet?
Kortom ik vind het wat kort door de bocht om te stellen dat je als niet-admin niks kunt verzieken op een Windows pc / netwerk.
Kortom ik vind het wat kort door de bocht om te stellen dat je als niet-admin niks kunt verzieken op een Windows pc / netwerk.
[Reactie gewijzigd door Rataplan_ op 9 augustus 2012 13:18]
Gelukkig hebben we in de moderne Windows prima AppLocker-policies onder het commando gpedit.msc geplakt zitten, dus je kunt met kinderlijke eenvoud specifieke applicaties toestaan of weigeren als uitzondering bijvoorbeeld op een algeheel executable-verbod voor alles wat onbekend is. Hash-rules, Publisher-rules en Path-rules kunnen dan gebruikt worden om die ene applicatie waar de gebruiker dan wel verhoging van rechten voor nodig heeft zo in te stellen dat hij deze applicatie (dmv filehash, uitgevercertificaat of bestandspad) dan toestaat zijn dingen te doen, zonder de rest van het beveiligingsbeleid te verhinderen.
Klein detail... Je hebt geen admin rechten nodig om flink wat paniek te veroorzaken in een netwerk. Bijvoorbeeld door veel verkeer te versturen. Een Trojan kan prima zonder admin rechten draaien, als de activiteiten die het uitvoert maar geen hoge privileges vereisen.
Ik zou voortaan overigens maar eens wat rustiger doen, zeker omdat je de gehele context niet kent. Is ook beter voor je hart!
Ik zou voortaan overigens maar eens wat rustiger doen, zeker omdat je de gehele context niet kent. Is ook beter voor je hart!
Sleep0rz: je wordt niet gehinderd door enige kennis kan zaken. Administrator rechten zijn helemaal niet noodzakelijk voor deze Tojan, en het gaat ook helemaal niet om .exe bestanden. Ook als gebruiker kan deze trojan zich verspreiden via fileshares/mail enzovoort.
Recente virusscanners herkennen dit virus niet, en gebruikers zijn gebruikers. Die klikken vaak nu eenmaal alles aan wat ze binnen krijgen.
D'r zijn wel maatregelen te nemen, maar je kan niet alles van te voren weten, al met al geen reden om mensen strafrechtelijk te vervolgen.
Recente virusscanners herkennen dit virus niet, en gebruikers zijn gebruikers. Die klikken vaak nu eenmaal alles aan wat ze binnen krijgen.
D'r zijn wel maatregelen te nemen, maar je kan niet alles van te voren weten, al met al geen reden om mensen strafrechtelijk te vervolgen.
Daar is prima wat tegen te doen. Zorg voor een hybride omgeving. Wanneer je alles op hetzelfde OS (desktops en servers) - en dan ook nog eens het OS waarop de meeste malware gericht is - baseert dan loop je dit risico. Wanneer je bijvoorbeeld Linux inzet als fileserver dan is het OS op de fileserver niet besmet. Misschien wel de files op die fileserver, maar die kunnen geen schade aan de fileserver zelf veroorzaken. Daarmee voorkom je een deel van de ellende waarmee Weert nu zit.
wat een BS, zodra je die desktops kunt infecteren hebben deze toegang tot het netwerk en is in potentie elke interactie gevaarlijk - je kunt niet verwachten dat zo'n kleine gemeente al firewalls met hoge mate van inteligentie aan tussen eigen personeel en data moeten plaatsen...
wat niet wil zeggen dat ik tegen de implementatie van linux zou zijn, in tegendeel, met opensource heb je open potentieel, en kan iedereen bijdragen aan de verbetering van ons aller veiligheid.
wat niet wil zeggen dat ik tegen de implementatie van linux zou zijn, in tegendeel, met opensource heb je open potentieel, en kan iedereen bijdragen aan de verbetering van ons aller veiligheid.
Nee. Het is simpel. Vooraan vallen de klappen. Had Debian Linux de defacto overheidsstandaard geweest, dan was de malware daarvoor geschreven. Maar je hebt wel gelijk dat het niets uit maakt een hybride omgeving, want een hybride hacker zal zich door platform onafhankelijke standaarden als TCP/IP e.d. net zo makkelijk op Windows als op Linux of wmb Apple heen wurmen. Waar een wil is is een weg. Helaas grote frustratie voor beheerders, er is er altijd wel 1 die slimmer/handiger/gehaaider/meer belezen is. Maar in de bedrijfswereld moet je risico's inschatten op basis van stats, zoals incident waarschijnlijkheid en impact in euro's uitgedrukt. En eigenlijk komt dat neer op "iets van een gevoel van veiligheid" gemiddeld genomen.
Zou wat worden als alles beveiligd werd met bodyscanners/camera's/tokens/RFID-chips/HDD-encryption ... Ow wacht...
Zou wat worden als alles beveiligd werd met bodyscanners/camera's/tokens/RFID-chips/HDD-encryption ... Ow wacht...
Wat een onzin dat hier niets aan te doen is....
Ik heb geen opmerking over de handelwijze van de gemeente maar hoe is dit virus op het interne netwerk gekomen? Executables en screensavers worden neem ik aan niet door mailserver geaccepteerd. En USB sticks ook niet.
Tevens is het goed mogelijk om met terminal servers te werken (wat de meeste gemeentes überhaupt al doen). Deze accepteren geen niet-geautoriseerde executables en de gebruikers hebben al helemaal geen bijzondere rechten. Tenzij het virus van een zero-day remote exploit gebruik maakt kan deze dan nooit geen schade aanrichten.
Kort door de bocht: Goed gehandeld maar zeker te voorkomen!
Ik heb geen opmerking over de handelwijze van de gemeente maar hoe is dit virus op het interne netwerk gekomen? Executables en screensavers worden neem ik aan niet door mailserver geaccepteerd. En USB sticks ook niet.
Tevens is het goed mogelijk om met terminal servers te werken (wat de meeste gemeentes überhaupt al doen). Deze accepteren geen niet-geautoriseerde executables en de gebruikers hebben al helemaal geen bijzondere rechten. Tenzij het virus van een zero-day remote exploit gebruik maakt kan deze dan nooit geen schade aanrichten.
Kort door de bocht: Goed gehandeld maar zeker te voorkomen!
Het virus wordt verspreid via een word document. Dus je kan aannemen dat iemand een geïnfecteerd document heeft ontvangen en geopend. Word documenten zijn zeker geen ongebruikelijke methode om te communiceren met de gemeente dus is het, als het antivirus pakket het doorlaat, niet raar dat een PC hierdoor geïnfecteerd kan raken.
Natuurlijk, je kan een machine helemaal dicht timmeren als beheerder (daar heb je geen terminal servers voor nodig) maar de nadelen van dat soort stappen zijn in veel organisaties groter dan de voordelen.
Daarnaast is dit virus binnen een dag opgemerkt en is er actie ondernomen. Dat betekent dat de beveiliging uiteindelijk redelijk op orde is.
Kort door de bocht. Alles is te voorkomen, maar in een organisatie waar alles is dichtgetimmerd valt niet meer te werken. (En dat lijkt me toch uiteindelijk het doel )
Natuurlijk, je kan een machine helemaal dicht timmeren als beheerder (daar heb je geen terminal servers voor nodig) maar de nadelen van dat soort stappen zijn in veel organisaties groter dan de voordelen.
Daarnaast is dit virus binnen een dag opgemerkt en is er actie ondernomen. Dat betekent dat de beveiliging uiteindelijk redelijk op orde is.
Kort door de bocht. Alles is te voorkomen, maar in een organisatie waar alles is dichtgetimmerd valt niet meer te werken. (En dat lijkt me toch uiteindelijk het doel
)
Je begrijpt het niet. Het virus wordt niet verspreid via een word document, maar gebruikt juist het word document om zich te nestelen, nadat iemand het .exe bestandje/virusje heeft uitgevoerd.
Het kan dus niets anders zijn dan incompetentie.
Het kan dus niets anders zijn dan incompetentie.
Of werken met een USB stick of ander uitwisselbaar medium. Hell het kan zelfs van een andere gemeente komen. Daar wel eens aan gedacht?
En ga nou niet roepen dat mensen dan maar geen USB sticks moeten gebruiken want je virusscanner dient dit gewoon op te pikken.
En ga nou niet roepen dat mensen dan maar geen USB sticks moeten gebruiken want je virusscanner dient dit gewoon op te pikken.
En welke virusscanner kan jij aanraden die toekomstige nog onbekende (varianten van) virussen herkent? Alle mij bekende firma's hebben met spoed updates uitgebracht nietwaar?
En het is natuurlijk TOTAAL niet mogelijk dat ze van een externe partij een Word document hebben gekregen waar de Trojan zich in heeft genesteld NADAT iemand een .exe het uitgevoerd..
Dit is gewoon een heksenjacht om iemand de schuld te geven.. kom op zeg.
In plaats van dat de doen, kun je ook zeggen dat ze gewoon goed hebben gehandeld toen dit uitgekomen is, het niet hebben verdoezeld, en de, in mijn mening, enige juiste beslissing hebben genomen. Netwerk besmet? Down gooien en schoon maken.
Dit is gewoon een heksenjacht om iemand de schuld te geven.. kom op zeg.
In plaats van dat de doen, kun je ook zeggen dat ze gewoon goed hebben gehandeld toen dit uitgekomen is, het niet hebben verdoezeld, en de, in mijn mening, enige juiste beslissing hebben genomen. Netwerk besmet? Down gooien en schoon maken.
Nope, want het virus nestelt zich niet in een word doc. Het gebruikt alleen word om zich te injecteren in een aantal processen om zich te verbergen, maar word heeft weinig met de initiële infectie te maken, die wordt altijd nog los van word uitgevoerd.
Zo lang je hiervoor een .exe uitgevoerd moet hebben is de IT afdeling te incompetent door het toestaan van de uitvoering van willekeurige .exe bestandjes. Er is simpelweg geen alternatieve optie. Het is niet zo dat het virus/de trojan gebruik maakt van vulnerabilties. Dit is duidelijk een trojan die je los uit moet voeren.
Dat het artikel dit niet zegt, ligt meer aan de schrijver van het artikel. Als je verder leest op de Symantec website, zul je zien dat je zonder user interactie niet met dit virus/deze trojan geïnfecteerd kunt worden.
Natuurlijk is er nu een juiste beslissing genomen, maar dat is achteraf puinruimen, terwijl dit nooit had kunnen gebeuren in een fatsoenlijke omgeving.
Zo lang je hiervoor een .exe uitgevoerd moet hebben is de IT afdeling te incompetent door het toestaan van de uitvoering van willekeurige .exe bestandjes. Er is simpelweg geen alternatieve optie. Het is niet zo dat het virus/de trojan gebruik maakt van vulnerabilties. Dit is duidelijk een trojan die je los uit moet voeren.
Dat het artikel dit niet zegt, ligt meer aan de schrijver van het artikel. Als je verder leest op de Symantec website, zul je zien dat je zonder user interactie niet met dit virus/deze trojan geïnfecteerd kunt worden.
Natuurlijk is er nu een juiste beslissing genomen, maar dat is achteraf puinruimen, terwijl dit nooit had kunnen gebeuren in een fatsoenlijke omgeving.
dus als een heel netwerk plat moet omdat de beheerder zijn zaakjes niet in orde heeft is dat voor jou voldoende om positief hierop te reageren ?
bedenk wel even dat er nu mensen zonder paspoort zitten, vergunningen misschien niet aangevraagd kunnen worden, mogelijk phishing mailtjes verstuurd konden worden en mogelijk data verdwenen is.
ik lees niet dat de oorsprong van de infectie gevonden is
ook niet dat de geinfecteerde pc's uit het netwerk zijn gehaald
daarnaast moet ik zeggen dat systemen ook slecht beveiligd worden bij officiele instanties en banken.
als voorbeeld: toen ik een leer werk traject vanuit het cwi deed, werden er systemen geleverd zonder o.s. deze moesten we nakijken, testen en opnieuw installeren.
deze kwamen van de rabobank en waren snel geformatteerd...
ook heb ik bij het cwi zelf fysieke toegang gekregen tot meerdere systemen waarbij ik dus cmd kon gebruiken, usb poorten nog werkten en zelfs poorten openstonden waar geen services op draaiden...
als ze slim zijn laten ze die utp kabel er lekker uit en stappen ze gewoon over op papier, snelheidswinst is er toch nooit door geweest en besparen is ook onzinnig als je miljarden de put in dondert aan uitkeringen en hulp voor het buitenland
edit: ik heb verder nooit iets slechts met die systemen gedaan maar ik had er makkelijk een zakcentje aan kunnen verdienen. (wat voor de meesten wel aantrekkelijk is)
bedenk wel even dat er nu mensen zonder paspoort zitten, vergunningen misschien niet aangevraagd kunnen worden, mogelijk phishing mailtjes verstuurd konden worden en mogelijk data verdwenen is.
ik lees niet dat de oorsprong van de infectie gevonden is
ook niet dat de geinfecteerde pc's uit het netwerk zijn gehaald
daarnaast moet ik zeggen dat systemen ook slecht beveiligd worden bij officiele instanties en banken.
als voorbeeld: toen ik een leer werk traject vanuit het cwi deed, werden er systemen geleverd zonder o.s. deze moesten we nakijken, testen en opnieuw installeren.
deze kwamen van de rabobank en waren snel geformatteerd...
ook heb ik bij het cwi zelf fysieke toegang gekregen tot meerdere systemen waarbij ik dus cmd kon gebruiken, usb poorten nog werkten en zelfs poorten openstonden waar geen services op draaiden...
als ze slim zijn laten ze die utp kabel er lekker uit en stappen ze gewoon over op papier, snelheidswinst is er toch nooit door geweest en besparen is ook onzinnig als je miljarden de put in dondert aan uitkeringen en hulp voor het buitenland
edit: ik heb verder nooit iets slechts met die systemen gedaan maar ik had er makkelijk een zakcentje aan kunnen verdienen. (wat voor de meesten wel aantrekkelijk is)
[Reactie gewijzigd door the-dark-force op 8 augustus 2012 18:43]
Als zelfs de top 10 van antivirus bedrijven het virus niet kunnen opsporen. Hoe moet je het dan als beheerder tegen houden?
http://en.wikipedia.org/wiki/Hardening_(computing)
En uiteraard niet toestaan om .scr bestanden te ontvangen, op te starten, scripting uitschakelen binnen Office via group policies om maar even te beginnen.
En uiteraard niet toestaan om .scr bestanden te ontvangen, op te starten, scripting uitschakelen binnen Office via group policies om maar even te beginnen.
[Reactie gewijzigd door dycell op 8 augustus 2012 21:22]
Dat soort dingen deden ze bij mij op de opleiding in 2000 ook al, met als gevolg dat wij al onze spullen in encrypted zip containers stopten en ze een andere extentie gaven.http://en.wikipedia.org/wiki/Hardening_(computing)
En uiteraard niet toestaan om .scr bestanden te ontvangen, op te starten, scripting uitschakelen binnen Office via group policies om maar even te beginnen.
Dat was toen meer dan voldoende om zo'n mime-type filter om de tuin te leiden.
Ook waren er toen legio zwakheden te vinden in de terminal server, een hele boel dingen die via explorer niet mochten, konden via de Common Dialog wel gewoon.
We mochten met de terminals in de dorms niet op het internet, maar voor onze opleiding hadden we op de machines in het lokaal wel local-admin rechten. Het duurde niet lang voor we manieren hadden gevonden om die local-admin rechten te kunnen gebruiken om een HTTP proxy te draaien en toch te kunnen internetten vanuit de dorm.
Kortom waar een wil is is vaak ook een weg, zeker als de SysOp niet de BOFH wil spelen en gewoon keihard alles keer op keer dichttimmert.
De tijden zijn uiteraard veranderd nu we steeds meer in het BYOD tijdperk komen. Een antivirus appliance kijkt bijvoorbeeld echt tegenwoordig wel verder dan de extensie met het te scannen van een bestand.
Ook de applicatie beveiliging is sterk verbeterd bij bedrijven zo is het mogelijk alleen "signed" executables te draaien.
Binnen bedrijven is natuurlijk local-admin rechten geven totaal uit den boze. Dan kun je wat mij betreft net zo goed iedereen domain admin maken....
Ik wil je verhaal niet onderuit halen en waar een wil is zeker ook een weg maar als ik een terminal server dichttimmer dan moet je echt met privilege-elevation exploits gaan werken voor je wat kunt uitvoeren. Daarnaast moet je ook nog uit de "sandboxed" applicatie omgeving komen en dan zit je nog steeds alleen in een client netwerk te kijken (servers zijn afgeschermd met een management LAN).
Ook de applicatie beveiliging is sterk verbeterd bij bedrijven zo is het mogelijk alleen "signed" executables te draaien.
Binnen bedrijven is natuurlijk local-admin rechten geven totaal uit den boze. Dan kun je wat mij betreft net zo goed iedereen domain admin maken....
Ik wil je verhaal niet onderuit halen en waar een wil is zeker ook een weg maar als ik een terminal server dichttimmer dan moet je echt met privilege-elevation exploits gaan werken voor je wat kunt uitvoeren. Daarnaast moet je ook nog uit de "sandboxed" applicatie omgeving komen en dan zit je nog steeds alleen in een client netwerk te kijken (servers zijn afgeschermd met een management LAN).
[Reactie gewijzigd door dycell op 8 augustus 2012 22:59]
als het een externe verbinding naar buitenaf wil maken om commando's van de c&c server af te halen moet je dat kunnen zien.
daarnaast staan onder me en boven me zat beveiligingsregels die dit hadden kunnen tegenhouden.
daarnaast staan onder me en boven me zat beveiligingsregels die dit hadden kunnen tegenhouden.
Niet interessant. Als je haast hebt ben je te laat gestart. Vergunning krijg je toch niet meteen, dus aanvragen kan volgende week ook. En zonder paspoort.? Ze zitten hooguit nog wat langer zonder paspoort. Pech, het kan gebeuren. Het is vervelend,, maar er vallen geen dooien.bedenk wel even dat er nu mensen zonder paspoort zitten, vergunningen misschien niet aangevraagd kunnen worden,
Op 3FM in het nieuws was er iemand van de gemeente aan het woord hierover en die zei iets waarvan ik toch wel moest lachen omdat ik bijna zeker weet dat het een beetje scheef is. Hij zei dat de systemen getroffen waren door een variant van de Trojan horse. Nu ben ik geen virus-expert maar is het niet een variant van 'een' Trojan horse? Iets is een Trojan Horse en dat kan onderverdeeld worden in werkwijze van die specifieke Trojan, toch? Ofja, zoiets.
Nog steeds is het een variatie op de trojan horse. Of dacht je dat een paart met daarin spammers het gemeentehuis is binnen gewandeld? Er is maar 1 trojan horse. Het concept (de variatie) is sindsdien zeer regelmatig opnieuw gebruikt, inderdaad ook op het digitale slachtveld..
Ofwel iemand op het gemeentehuis heeft vermoedelijk een besmet word bestand geopend en is daardoor met het virus besmet geraakt. Je zou wel een onderverdeling kunnen maken in de manier waarop je besmet raakt (exploit, trojan horse, etc), maar een trojan horse bij virussen is altijd (zonder uitzonderingen) een 'normaal' bestand welke uitgevoerd of geopend zorgt voor de verspreiding van het virus..Het paard van Troje is een van de bekendste verhalen uit de Griekse mythologie, waarin verteld wordt hoe belegerende Grieken erin slaagden om Troje binnen te dringen door zich te verstoppen in een reusachtig houten paard, dat door de nietsvermoedende inwoners van Troje binnen de stadsmuren werd gehaald.
Misschien is het wel een variatie op het Turfschip van Breda..Iets is een Trojan Horse en dat kan onderverdeeld worden
toch? Ofja, zoiets
Ware het niet dat veel van de programma's die gebruikt worden hun gegevens weer vanuit andere lokaties op moeten halen (gba, belastingen, uwv etc) .
Met het afsluiten van de internetverbinding voorkom je infectie van andere computers in je lokale netwerk niet. Met de stekker uit de switch wel (aangenomen dat het zich niet via USB-sticks verspreid)
[Reactie gewijzigd door Petervanakelyen op 8 augustus 2012 18:40]
Heb je enig idee hoeveel koppelingen en interfaces een gemeente heeft?
En vergeet ook niet gemeenten die samen werken en diensten gezamelijk uitvoeren.
En vergeet ook niet gemeenten die samen werken en diensten gezamelijk uitvoeren.
Ben benieuwd welke virusscanner ze hebben of hadden draaien...
Denk iets van symantec, of mcafeeBen benieuwd welke virusscanner ze hebben of hadden draaien...
Dat is vervelend als je op vakantie wilt en je paspoort is verlopen.
Als ik een grote reis had gepland buiten Europa, had ik toch wel even van te voren gekeken naar de geldigheid van mijn paspoort.
(als ik er 1 had
)
(als ik er 1 had
)
Dan ga je maar later of helemaal niet. Simpel.Dat is vervelend als je op vakantie wilt en je paspoort is verlopen.
Het is tenslotte je eigen verantwoordelijkheid een geldig reisdocument te hebben wanneer je naar buitenlanden wilt. En ach, volgende week werken ze wel weer, vermoedelijk.
Helaas is dit niet de enige organisatie / gemeente die problemen heeft.. 
Zie ook: http://www.fraudehelpdesk...groot_incassodiensten_b_v
Bij een aantal bedrijven is dit helaas toch geopend. Deze variant vervormd alle word bestanden (naar een paar kb), waardoor je niets meer kan...
Helaas waren er geen grote AV bedrijven van op de hoogte en lopen hier ze allemaal achter de feiten aan...
Zie ook hier: http://www.security.nl/ar...&utm_campaign=rssfeed
Zie ook: http://www.fraudehelpdesk...groot_incassodiensten_b_v
Bij een aantal bedrijven is dit helaas toch geopend. Deze variant vervormd alle word bestanden (naar een paar kb), waardoor je niets meer kan...
Helaas waren er geen grote AV bedrijven van op de hoogte en lopen hier ze allemaal achter de feiten aan...
Zie ook hier: http://www.security.nl/ar...&utm_campaign=rssfeed
[Reactie gewijzigd door Ankh op 8 augustus 2012 19:20]
Ziet er redelijk goed voorbereid uit, niet echt script-kiddie werk. Ik hoop dat de schade, die veroorzaakt is bij de verschillende bedrijven, verhaald wordt bij de daders.
Wij hadden vandaag meerdere klanten die getroffen zijn. Inmiddels het virus kunnen indammen... Nu backups terug aan het zetten...
Van McAffee hebben we nu een extra DAT gekregen...
Van McAffee hebben we nu een extra DAT gekregen...
fijn advies op die site:
Download u ook MalwareBytes' Anti-Malware en laat deze ook regelmatig uw computer controleren op schadelijke software. Als u op de link klikt start de download automatisch.
Ook een manier om besmet te raken mocht je de vorige gemist hebben
Download u ook MalwareBytes' Anti-Malware en laat deze ook regelmatig uw computer controleren op schadelijke software. Als u op de link klikt start de download automatisch.
Ook een manier om besmet te raken mocht je de vorige gemist hebben
Wij zijn hier helemaal down. Alle gebruikers zijn naar huis gestuurd. Nog geen oplossing in zicht. Het lijkt er inderdaad op dat het via word documentjes wordt verspreid.
EDIT: Inmiddels is er een extra DAT uit voor McAfee, die werkt bij ons het beste. Deze hersteld de corrupte bestanden weer. In tegenstelling tot de ESET scan. Die verwijderd de corrupte bestanden direct...
Wat bij ons werkt:
Kijk bij de gebruiker in de volgende map c:\users\<gebruikersnaam>\AppData\Roaming\
Daar moet een mapje staan met een willekeurige reeks letters en getallen (meestal hoofdletters en een getal op het eind).
Gooi dat mapje weg, als het niet lukt omdat de bestanden in gebruik zijn. Start dan Taakbeheer, het virus stopt dan even om niet ontdekt te worden. Als je Taakbeheer open houdt, kan je het mapje verwijderen.
Open vervolgens het register en navigeer naar de volgende key:
[HKEY_CLASSES_ROOT\.scr]
@=""
(tussen de quotes moet leeg zijn, was origineel: @=“scrfile”)
Daarna de volgende key leegmaken:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
Load=""
(moet leeg zijn, bevatte een pad naar een shortcut bestand (.LNK).)
Vervolgens starten we een online scan van ESET
Ga naar www.eset.eu, vervolgens klik je op HOME. Helemaal naar beneden scrollen, klik daar op "Eset Online Scanner" en start deze. Hierna is het bij ons weg...
Om te voorkomen dat bij een nieuwe uitbraak het nog een keer gebeurd hebben we in File Resource Manager de *.scr denied op onze shares... Het virus kan dan de bestanden niet meer hernoemen...
Wat bij ons werkt:
Kijk bij de gebruiker in de volgende map c:\users\<gebruikersnaam>\AppData\Roaming\
Daar moet een mapje staan met een willekeurige reeks letters en getallen (meestal hoofdletters en een getal op het eind).
Gooi dat mapje weg, als het niet lukt omdat de bestanden in gebruik zijn. Start dan Taakbeheer, het virus stopt dan even om niet ontdekt te worden. Als je Taakbeheer open houdt, kan je het mapje verwijderen.
Open vervolgens het register en navigeer naar de volgende key:
[HKEY_CLASSES_ROOT\.scr]
@=""
(tussen de quotes moet leeg zijn, was origineel: @=“scrfile”)
Daarna de volgende key leegmaken:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
Load=""
(moet leeg zijn, bevatte een pad naar een shortcut bestand (.LNK).)
Vervolgens starten we een online scan van ESET
Ga naar www.eset.eu, vervolgens klik je op HOME. Helemaal naar beneden scrollen, klik daar op "Eset Online Scanner" en start deze. Hierna is het bij ons weg...
Om te voorkomen dat bij een nieuwe uitbraak het nog een keer gebeurd hebben we in File Resource Manager de *.scr denied op onze shares... Het virus kan dan de bestanden niet meer hernoemen...
[Reactie gewijzigd door kw_nl op 9 augustus 2012 07:04]
Super, ik ga één voor één alle PC's langs tot ik 'm heb.
Decrypt en herstelt hij de beschadigde bestanden ook? De Eset scanner bedoel ik dan.
Nee, helaas niet... Hopen dat je een goede backup hebt
Sterker nog, hij gooit de geinfecteerde Office bestanden weg... In ons geval niet erg omdat we een recente backup hebben
Sterker nog, hij gooit de geinfecteerde Office bestanden weg... In ons geval niet erg omdat we een recente backup hebben
[Reactie gewijzigd door kw_nl op 8 augustus 2012 21:17]
Door McAfee is er zojuist een EXTRA.DAT gereleased. De eerste tests wijzen uit dat hij de files decrypt en herstelt met deze update.
Ik ga er van uit dat de anderen snel volgen.
Ik ben weer erg blij vanavond
Ik ga er van uit dat de anderen snel volgen.
Ik ben weer erg blij vanavond
rechtstreekse link .. http://www.eset.com/home/products/online-scanner/
Toch wel erg als je geinfecteert raakt door een virus dat al in 2010 bekend was. Geen volledige en goede AV protectie dus denk dat de IT afdeling toch wat uit te leggen heeft.
Als je even er verder in verdiept, dan zal je duidelijk worden dat het een variant is van dit virus.
Wat ik veel erger vind is dat bij ons klanten een virusscanner hebben welke na 8 uur nog geen update hebben om je er tegen te wapenen.
Voor jou info, heb een besmet bestand gescand met 42 scanners om 16:15 uur en slechts 10 haalde hem eruit waarvan 1 (Panda) het als verdacht bestand aanmerkte.
Om 20:45 uur waren dit 13 van de 45.
Wat ik veel erger vind is dat bij ons klanten een virusscanner hebben welke na 8 uur nog geen update hebben om je er tegen te wapenen.
Voor jou info, heb een besmet bestand gescand met 42 scanners om 16:15 uur en slechts 10 haalde hem eruit waarvan 1 (Panda) het als verdacht bestand aanmerkte.
Om 20:45 uur waren dit 13 van de 45.
Als het een variant is dan had het heuristic gedeelte van het AV pakket het toch kunnen oppakken als het een soortgelijk gedrag vertoont?
En dan nog, waarom worden .scr bestanden niet geblokt in een bedrijfsomgeving?
En dan nog, waarom worden .scr bestanden niet geblokt in een bedrijfsomgeving?
Omdat het *.rcs bestanden lijken te zijn?
http://www.damnthoseprobl...8/virus_picture_thumb.png
http://www.damnthoseprobl...8/virus_picture_thumb.png
[Reactie gewijzigd door GB2 op 9 augustus 2012 07:21]
Volgens mij klopt een deel van dit artikel niet. Het gaat om een Sasfis variant, die zich verspreid als een scr bestand. Ik lees nergens iets over dat dit virus van vandaag zich met behulp van Microsoft Word installeert. Zie ook:
http://www.damnthoseproblems.com/?p=599
Zover ik het begrijp is dat ding gewoon uitvoerbaar als een scr bestand, alleen weet 'ie z'n file extension te verbergen vanwege een truc met unicode karakters. En het virus lijkt een Office icon te hebben, zodat de bijlage in een mail gewoon als een Word of Excel document wordt getoond en men er op dubbelklikt. Een geïnfecteerd systeem infecteert vervolgens alle Office documenten op alle (netwerk) drives.
Volgens het artikel encrypt het virus alle doc en xls files, maar wellicht dat ook een decrypter tool uitkomt.
http://www.damnthoseproblems.com/?p=599
Zover ik het begrijp is dat ding gewoon uitvoerbaar als een scr bestand, alleen weet 'ie z'n file extension te verbergen vanwege een truc met unicode karakters. En het virus lijkt een Office icon te hebben, zodat de bijlage in een mail gewoon als een Word of Excel document wordt getoond en men er op dubbelklikt. Een geïnfecteerd systeem infecteert vervolgens alle Office documenten op alle (netwerk) drives.
Volgens het artikel encrypt het virus alle doc en xls files, maar wellicht dat ook een decrypter tool uitkomt.
Netjes thx!, Mcafee schijnt een update uitgegeven te hebben (Extradat)
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
