Virus alert – Duqu, fiul lui Stuxnet   2 comments

De mult timp n-am mai avut probleme cu virusii pe computerele personale, cel mult am mai dat o mana de ajutor rudelor si prietenilor mai putin alfabetizati IT. Ei bine, „never say never„, ieri dimineata, dupa ce am vizitat din google un anumit site, am observat semnele unei infectii, antivirusul a dat sa zica ceva dar mi-a fost dezactivat fulgerator, softurile anti-malware au fost corupte, instalarea si dezinstalarea oricarui antivirus era blocata, system restore nu functiona si dovada finala a infamiei – in task-manager se lafaia un proces pirat, ceva de genul xxxxx:yyyyyyy ! Colac peste pupaza, acest proces se incapatana sa nu se inchida si rula si in Safe Mode !

E groasa !„, mi-am zis, si am inceput sa caut solutii pe net. Am gasit foarte putine informatii, dovada ca amenintarea era foarte „proaspata”, dar am aprofundat si asa am ajuns sa va spun povestea mea, poate va ajuta in situatii similare…

Cei care urmaresc stirile politice, stiu ca Iranul este una din putinele tari care rezista asaltului american. Este un stat periculos, islamic, fundamentalist, avand ca presedinte un extremist si condus din umbra de ayatolahi – un fel de cardinali islamici. Principala amenintare ar fi inarmarea nucleara, care in zilele noastre nu mai depinde de know-how ci doar de disponibilitatea uraniului imbogatit in izotopul U 235 . Iata de ce, sub fatada unui program nuclear civil, uzinele iraniene rafineaza uraniu la greu.

Cum si-a facut treaba Stuxnet (sursa: Der Spiegel)

Stirea nu prea bucura pe nimeni… Americanii nu prea au ce face, alibiul este aproape perfect iar iranienii par imuni la presiunile internationale, asa ca impreuna cu aliatii israelieni.. cauta solutii. O ocazie nesperata au oferit-o chiar iranienii, caci uzinele lor ruleaza un soft tehnologic Siemens pe sistemul de operare Windows. Prin iunie 2010, un inginer ucrainean care lucra pentru un furnizor de antivirus a fost solicitat sa intervina, pentru ca sistemele informatice iraniene se comportau ca un semafor, in ciuda antivirusului updatat la zi si izolarii retelelor fata de internet. Dupa o analiza de o saptamana a identificat o infectie cu un virus fara precedent – considerat primul atac informatic militar – purtand numele infiorator de Stuxnet. Virusul isi facea de cap de un an fara sa fie descoperit !

Utilizand tehnici complexe, virusul speculeaza o vulnerabilitate Windows, instalandu-se prin intermediul stick-urilor USB. Pacaleste antivirusul prin falsificarea certificatelor digitale utilizate de programe valide sau pur si simplu il dezactiveaza. Multiplicarea este controlata (probabil pentru a evita sa atraga atentia), iar atacurile sunt executate tintit, in valuri, ulterior virusul se autoelimina. Peste 12.000 de computere din societati tehnologice de varf irianiene au fost infectate si afectate in proportii mai mari sau mai mici. De acolo, virusul s-a extins catre est, in India, Indonezia, etc.

Stuxnet a fost o piatra de hotar privind amenintarile informatice, s-a dovedit ca si computerele care nu sunt conectate la internet sunt vulnerabile, adica computerele alea care dirijeaza traficul aerian si pe calea ferata, care controleaza uzine nucleare, chiar si rachete nucleare ! Deja doctrina militara americana a integrat atacurile informatice ca pe o forma conventionala de razboi.

De curand s-a mai intamplat ceva bun, a fost publicat pe net codul sursa al virusului Stuxnet – o adevarata invitatie la actiune pentru raufacatori.  Si urmarea n-a intarziat prea mult sa apara.. . dar nu stiu ce-au avut cu mine !

Luna aceasta a aparut Duqu, o clona a lui Stuxnet (numit astfel de catre laboratorul de cercetare care l-a descoperit în octombrie, deoarece genereaza fisiere cu extensia „DQ”). Foarte putine programe antivirus il depisteaza, iata o analiza VirusTotal executata pe un fisier infectat in 18.10.2011. Din 42 de antivirusi de top, numai 5 il detectau la acea data ! Si nu stiu daca nu se limitau a-l detecta.. Acest virus are atat caracteristici rootkit cat si keylogger.

Exista o alinare in beleaua asta, acest nou virus extrem de puternic este destinat sa fure informatii (usere, parole, coduri PIN, etc), nu sa distruga computerul. La 36 de zile de la atac, virusul se autoelimina, dar lasa portite deschise pentru alte atacuri informatice.  Diagnosticarea a fost facuta pentru prima oara de Symantec, dar si BitDefender al nostru a reactionat repede si a pus la dispozitie un utilitar gratuit pentru eliminarea virusului. Personal, intai am folosit un patch Microsoft pentru o anume vulnerabilitate Windows XP legata de acest atac, apoi am folosit un utilitar AVG care mi-a scanat computerul ca pe vremuri, in DOS, vreo jumatate de zi, dar s-au vazut si efectele favorabile, astfel incat utilitarul BitDefender n-a mai gasit nimic. Dar cine stie pe unde o fi pitit …

Pentru final, iata cateva sfaturi, caci la sfaturi, noi romanii suntem foarte tari🙂 :

migrati la Windows 7, eu ma incapatanez sa rulez XP din obisnuinta, si nu fac deloc bine.. Microsoft a incetat suportul, si din ce in ce mai multe softuri (de pilda antivirus) o sa-si inceteze suportul pentru XP;

instalati numai softuri consacrate, si mai putine mai bine decat mai multe, fiecare noua instalare inseamna un risc in plus pentru stabilitatea si securitatea sistemului;

merita sa dati cativa dolari pe o licenta antivirus, de pilda eu cred ca o sa iau BitDefender, are o rata foarte buna de detectie si nu mai este asa greoi si lacom ca pe vremuri.. In plus, are origine sanatoasa, romaneasca ! Cica Bill Gates ar fi declarat ca peste trei sferturi din angajatii lui sunt romani, dar eu ma cam indoiesc …

– odata instalat, setati antivirusul sa verifice des existenta unor eventuale updatari, s-ar putea ca aceasta setare sa va salveze ! Cand se da alarma, cum este cazul despre care vorbim, firmele de soft antivirus se grabesc sa ia contramasuri, dar asta poate dura ore sau zile, fiecare minut de intarziere la update poate insemna zeci de mii de computere infectate..

– mai sunt cateva masuri de bun-simt: salvari periodice inclusiv pe suporturi amovibile, pregatirea si updatarea periodica a unor utilitare antivirus si conexe, poate un vechi computer tinut in camara pentru situatii grave (scanarea hardului de pe un sistem neinfectat), partitionarea discului astfel incat sa nu pierdeti date aflate pe partitia C, eventual instalarea a doua sisteme de operare pe aceeasi masina, etc.

– si privind achitionarea computerului as putea da un sfat, preferati sisteme de firma, facute in alta parte decat in China. Daca aveti un buget limitat, mai bine un computer de firma, la second-hand, decat unul nou asamblat din componente care au costat mai putin decat transportul pana in Romania!

– mare grija de pe ce computere cumparati on-line, faceti operatiuni bancare, etc. Pentru cumparaturi pe net (dar nu numai) utilizati un card special, alimentat periodic numai cu sumele necesare !

PS: Am primit vizita unui specialist (vezi la comentarii), asa am vazut ceva nemaivazut in RO: UN MALL DE ANTIVIRUS ! Ia uitati-va aici si serviti cu incredere: http://www.antivirusmag.ro/

Posted 28 Octombrie 2011 by Liviutz in Si altele.., Stiinta

Tagged with , , , , , , , , , , , , , ,

2 responses to “Virus alert – Duqu, fiul lui Stuxnet

Subscribe to comments with RSS.

  1. bitdefender e ok. detectie buna, suport in limba romana.

Lasă un răspuns

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s