Avslør Downadup på nettverket ditt

Å oppdage ormen Downadup/Conficker i en bedrift kan være en møysommelig jobb for it-sjefen.

Nå kommer en gruppe forskere med nye verktøy som kan gjøre det enklere å finne ut hvilke maskiner på nettverket som er rammet, slik at ormen kan fjernes der den finnes.

Og de kommer i grevens tid. 1. april skal nemlig ormen få nye instruksjoner fra sine servere. Hva den vil gjøre, vet ingen bortsett fra skaperne selv. Foreløpig har den stort sett ikke gjort noe som helst.

- Hele sikkerhetsindustrien lurer på hva formålet er. Hva pønsker de på? har Jan Roger Wilkens, sikkerhetsanalytiker hos Telenor, uttalt til cw.no.

Avslører seg selv

Den nye metoden kommer fra Tillmann Werner, Felix Leder og "kjendishackeren" Dan Kaminsky.

De utnytter en svakhet ved ormen skaperne nok ikke har tenkt på. Ved å sende ut en "remote procedure call", og lytte til tilbakemeldingene man får fra nettverket, avslører de infiserte pc-ene seg.

Grunnen er at disse maskinene vil sende feilmeldinger tilbake om de mottar de spesielle kallene.

Og det er på grunn av at Downadup lapper Windows med en modifisert utgave av Microsofts egne feilfiks, som skal tette hullet som ormen bruker for å komme seg inn i pc-ene. Hullet blir tettet, men ikke for de som kjenner den falske feilfiksen.

Dette gjør de for å stanse andre fra å ta kontroll over pc-ene Downadup har sikret seg, noe som er vanlig (om enn noe ironisk) praksis blant virusmakerne.

Raskt og enkelt

- Du kan bokstavelig takt spørre om maskinen er infisert, og den vil fortelle deg om så er tilfelle, skriver Kaminsky i sin blog.

Verktøyene har blitt offentliggjort på internett, men de skal også inngå i flere sikkerhetspakker. Blant andre McAfee, nCircle, Nessus, Nmap og Qualys.

- Det hele gjør det veldig enkelt å oppdage infiserte maskiner, sier Kandek.

- Du kan fjernskanne veldig raskt, uten at noen må logge seg inn i systemene og se på registeret. Sistnevnte er enkelt, men nå kan administratoren gjøre dette raskt på hele nettverket.