Saturday, January 21, 2006

W32/Tearec.A.worm

Χρειάστηκε να χάσω τέσσερις ώρες Παρασκευή απόγευμα, για να καθαρίσω ένα σχετικά άκακο ιό από τους 15 υπολογιστές μιας εταιρείας που μεταπουλάει ανταλλακτικά της Mercedes-Benz (αλλά για νταλίκες, όχι για τις S-Class)…

Σχετικά άκακο γιατί απλά έστελνε 4δις email σε όποιον έβρισκε στη λίστα διευθύνσεων του outlook, αλλά ευτυχώς δεν κολλούσε σε ότι executable έβρισκε. Ακολουθούν γενικές οδηγίες για το τι να κάνετε αν χρειαστεί ποτέ να αντιμετωπίσετε μια τέτοια κατάσταση.

1. Φορέστε ένα ζευγάρι αποστειρωμένα ελαστικά γάντια (τα γάντια δεν βοηθάνε καθόλου στην εξαφάνιση του ιού, απλά εντυπωσιάζονται όλοι οι τριγύρω χρήστες, και τους καλλιεργείται και μια φοβία για τους ιούς που μπορεί να σας φανεί χρήσιμη στο μέλλον).
2. Αν πρόκειται για τοπικό δίκτυο, το πιο σημαντικό που πρέπει να κάνετε είναι να βγάλετε όλους τους υπολογιστές από αυτό. Τραβήξτε επιδεικτικά όλα τα UTP καλώδια από τις πρίζες τους.
3. Βρείτε έναν υπολογιστή με πρόσβαση στο internet (και κατά προτίμηση χωρίς τον ιό) και ψάξτε τι λένε οι μεγάλες εταιρείες antivirus για τον ιό (υποθέτω ότι κάπως, κάπου, κάποτε, ένα από τα 15 μηχανήματα είχε antivirus, και αυτό σας είπε το όνομα του ιού).
4. Αν είστε τυχεροί, σε κάποια από αυτές τις σελίδες θα βρείτε ένα μικρό πρόγραμμα για να αφαιρέσετε τον ιό. Κατεβάστε το (αν ο υπολογιστής από τον οποίο το κατεβάζετε έχει τον ιό, τότε υπάρχει μια πιθανότητα, ανάλογα με το είδος του ιού, να κολλήσει και το πρόγραμμα που κατεβάζετε, οπότε την κάτσατε, αλλά ας υποθέσουμε ότι έχετε έναν καθαρό υπολογιστή με πρόσβαση στο internet), και γράψτε το είτε σε cd είτε σε δισκέτα, είτε στο usb stick σας, αλλά θυμηθείτε να τραβήξετε την προστασία εγγραφής στο "readonly" (αφού το γράψετε και μετά).
5. Κάντε μια βόλτα με τη δισκέτα/cd/usb stick σε κάθε ένα από τα "μολυσμένα" μηχανήματα, προσέχοντας μη σκίσετε κάνα γάντι, και τρέξτε το πρόγραμμα.
6. Όταν καταφέρετε σε ΟΛΑ τα μηχανήματα να δείτε κάποιο μήνυμα του τύπου "virus has been successfully removed", τότε και μόνο τότε μπορείτε να ξαναβάλετε τα καλώδια δικτύου πίσω στις πρίζες τους.
7. Βγάλτε τα γάντια και πετάξτε τα στον κοντινότερο κάλαθο αχρήστων, ρίχνοντας ένα υποτιμητικό βλέμμα στους εντυπωσιασμένους χρήστες που σας χειροκροτούν.

(ΥΓ1. στην περίπτωση που πέσετε πάνω σε κάτι πιο ζόρικο, π.χ. σε κάνα exe infector όπως ο Win32.Klez και οι παραλλαγές του, τα πράγματα είναι λίγο πιο δύσκολα, αλλά αυτό είναι μια άλλη ιστορία)

(ΥΓ2. για την περίπτωση που θέλετε να ενημερωθείτε καλύτερα για το θέμα προτείνω τη viruslist των kaspersky labs και αυτήν την παρουσίαση του Mark Russinovich)

5 comments:

psarog said...

Krima ta CSI pou eides. Tzampa phgan. Pou einai ta eidika gualia? Ta tsimpidakia? To ugro gia to aima kai ta sakkoulakia? Amateur work

guitarlikas said...

Έτσι έτσι..χαχα..Μισές δουλειές ρε Ζαφ..Τι απόγινε ο εξοπλισμός σου???
Πάντως το στυλ πάνω απ'όλα!! Τα γάντια είναι must..Anyway στο θέμα μας..Αν μου τύχει εμένα ξέρω τι θα κάνω..
step 1. call zaf
step 2. no reply from zaf? call lipis
:D

Unknown said...

lipis? γιατί lipis? αφού ο lipis θα ξαναπάρει τηλέφωνο εμένα... :P

Finteias said...

Η μόνη ρεαλιστική ερμηνεία για τα γάντια είναι το να μην αφήσεις δακτυλικά αποτυπώματα όταν θα εξαφανιστείς από τον τόπο του εγκλήματος, στην περίπτωση μιας αποτυχίας.
Η αμφισημία υπάρχει παντού.

Blogger said...

Are you looking to earn money from your visitors by running popup ads?
In case you do, have you ever used Propeller Ads?