
Kontaktinformationer Salg tlf.: +45 4478 6100 Support tlf.: +45 8740 7230 e-mail, adresser, fax og åbningstider Forside Produkter / Løsninger Atea produkter Atea Security Service Kursus oversigt Privat / hjemmebrug Priser McAfee McAfee løsninger McAfee Produkter DAT filer / SuperDAT-6611 Beta versioner / Beta DAT's Support Download licensversioner Download fra McAfee (Grant Nr.) Webinar McAfee.com Symantec Symantec Endpoint Protection Download fra Symantec Opstart & Licensing Portal Symantec kurser Trend Micro Trend Micro løsninger Trend Micro enterprise Trend Micro SMB Trend Micro konfigurator Trend Micro Gratis værktøjer Microsoft Forefront Licensiering Microsoft Forefront Download og beskrivelse Security Intelligence Report F-Secure F-Secure løsninger Product Downloads Support Cisco Cisco ASA Firewall Cisco IPS Systems Cisco IronPort Email&Web Security Cisco Security Management Cisco Identity Services Engine Cisco Secure Mobility ScanSafe løsninger Anywhere+ ScanSafe login Barracuda Barracuda løsninger Websense Websense løsninger Imprivata Imprivata OneSign Download Gratis værktøj til rensning af virus Evaluering Gratis værktøjer / Free tools Services NyhedsService Sporing og rensning af virus Malware information Malware information Links Atea Microsoft Forefront Symantec Trend Micro	Information om sporing og rensning af Nachi virus/orm Denne side beskriver hvordan W32/Nachi.worm inficerede systemer kan opspores i netværk. Siden vil løbende blive opdateret med relevant information. Vi modtager meget gerne feedback via email mcafee_support@ementor.dk eller på telefon 80 81 56 60. Microsoft information og update What You Should Know About the Blaster Worm (Det er de samme opdateringer som skal anvendes til Nachi) McAfee's information om W32/Nachi.worm PDF fil. Best Practices advisory for W32/Nachi.worm Cisco information vedr. sporing og blokering af Nachi: Nachi Worm Mitigation Recommendations Rensning af inficerede systemer Rensningen af et inficeret system bør udføres direkte lokalt på systemet. 1. Start det inficerede system 2. Download og kør rettelsen fra Microsoft for at lukke hullet. http://support.microsoft.com/default.aspx?scid=kb;en-us;823980 Se under punktet "RESOLUTION" 3. Download og kør McAfee Stinger for at fjerne denne virus. http://vil.nai.com/vil/stinger/ For at forøge hastigheden kan det være en fordel kun at scanne %windir%\system32\wins = f.eks. c:\windows\system32\wins. Da det kun er i dette område af Nachi ormen er placeret. 4. Genstart 5. Gentag evt. punkt 3. Opsporing af inficerede systemer Det kan være en uoverskuelig opgave at opspore de inficerede systemer i netværket. Det er dog muligt let at spore inficerede systemer ved at scanne efter en åben port 707 på alle systemer i netværket. Her er et link til et gratis portscanner program, som hurtigt kan konfigureres til at scanne alle systemer, og angive dem der har en åben port 707, hvilket er en klar indikation på at et system er inficeret med Nachi. Programmet kan let konfigureres til kun at scanne efter port 707, for herved at forøge scanningshastigheden. SuperScan kan gratis hentes her: SuperScan fra www.foundstone.com Port 707 bliver ved med at være åben, så længe systemet er inficeret. Check logfilerne fra den central firewall. De inficerede systemer vil forsøge at kontakte mange andre systemer via port 135 (den port som Nachi og LovSan anvender til spredning). I logfilerne fra firewall'en, vil det være muligt, at finde de systemer, som har kraftig kommunikation på port 135 ud mod internettet. Nachi ormen vil også kommunikerer kraftigt på http (tcp port 80) ud på internettet. Den store mængde af kommunikation mod internettet, fra selv ganske få infecerede systemer, kan få firewall og internet kommunikation til at forgå meget langsomt eller helt at stoppe. Information om opsætning af SuperScan version 4 kan findes her Bemærk denne vejledning angiver port 135, 445 og 4444. Det er kun port 707, som skal anvende alene for at spore Nachi inficerede systemer. Bloker for TCP port 135 og 707 i routerne Det kan være en stor fordel at blokere for TCP port 135 og 707 i routerne for at begrænse den voldsomme trafikmængde, som de inficerede pc'er skaber over routerne. BemærkDet kan ikke anbefales at blokere for port 135 i routerne, hvis der anvendes Active Directory, da det kan give problemer med synkroniseringen mellem serverne. Opsporing af systemer som ikke er opdateret med Microsoft rettelsen Der er mange metoder at finde de systemer, som mangler at får indlæst rettelsen. Foundstone har frigivet RPCScan v1.01, et gratis værktøj, som kan scanne alle jeres ipadresser på en gang. Det kan anvende de samme ipadresselister som ovenstående SuperScan RPCScan fra www.foundstone.com Hvordan kan virus/orme af denne type stoppes i fremtiden? Det er nødvendigt at indføre procedurer således at alle systemer løbende opdateres med de vitale rettelser der frigives. Det er nødvendigt løbende at verificere at systemerne er opdateret med disse vitale rettelser. Det er ikke nok at bero på den beskyttelse en gateway firewall ud mod internettet giver. Der er mange "bagveje" en virus/orm kan komme ind på netværket via. Firewall beskyttelse på de enkelte systemer kan være en god løsning, og det vil blive fremtiden for at opnå den bedste beskyttelse. Intrusion detection systemer på de enkelte systemer eller/og centralt kan være en god løsning.

Information om sporing og rensning af Nachi virus/orm

Denne side beskriver hvordan W32/Nachi.worm inficerede systemer kan opspores i netværk.

Siden vil løbende blive opdateret med relevant information. Vi modtager meget gerne feedback via email mcafee_support@ementor.dk eller på telefon 80 81 56 60.

Microsoft information og update What You Should Know About the Blaster Worm
(Det er de samme opdateringer som skal anvendes til Nachi)

McAfee's information om W32/Nachi.worm PDF fil. Best Practices advisory for W32/Nachi.worm

Cisco information vedr. sporing og blokering af Nachi: Nachi Worm Mitigation Recommendations

Rensning af inficerede systemer
Rensningen af et inficeret system bør udføres direkte lokalt på systemet.

1. Start det inficerede system

2. Download og kør rettelsen fra Microsoft for at lukke hullet.
http://support.microsoft.com/default.aspx?scid=kb;en-us;823980 Se under punktet "RESOLUTION"

3. Download og kør McAfee Stinger for at fjerne denne virus. http://vil.nai.com/vil/stinger/
For at forøge hastigheden kan det være en fordel kun at scanne %windir%\system32\wins = f.eks. c:\windows\system32\wins. Da det kun er i dette område af Nachi ormen er placeret.

4. Genstart

5. Gentag evt. punkt 3.

Opsporing af inficerede systemer
Det kan være en uoverskuelig opgave at opspore de inficerede systemer i netværket. Det er dog muligt let at spore inficerede systemer ved at scanne efter en åben port 707 på alle systemer i netværket.
Her er et link til et gratis portscanner program, som hurtigt kan konfigureres til at scanne alle systemer, og angive dem der har en åben port 707, hvilket er en klar indikation på at et system er inficeret med Nachi. Programmet kan let konfigureres til kun at scanne efter port 707, for herved at forøge scanningshastigheden.

SuperScan kan gratis hentes her: SuperScan fra www.foundstone.com

Port 707 bliver ved med at være åben, så længe systemet er inficeret.
Check logfilerne fra den central firewall. De inficerede systemer vil forsøge at kontakte mange andre systemer via port 135 (den port som Nachi og LovSan anvender til spredning). I logfilerne fra firewall'en, vil det være muligt, at finde de systemer, som har kraftig kommunikation på port 135 ud mod internettet. Nachi ormen vil også kommunikerer kraftigt på http (tcp port 80) ud på internettet. Den store mængde af kommunikation mod internettet, fra selv ganske få infecerede systemer, kan få firewall og internet kommunikation til at forgå meget langsomt eller helt at stoppe.

Information om opsætning af SuperScan version 4 kan findes her
Bemærk denne vejledning angiver port 135, 445 og 4444. Det er kun port 707, som skal anvende alene for at spore Nachi inficerede systemer.

Bloker for TCP port 135 og 707 i routerne
Det kan være en stor fordel at blokere for TCP port 135 og 707 i routerne for at begrænse den voldsomme trafikmængde, som de inficerede pc'er skaber over routerne.
BemærkDet kan ikke anbefales at blokere for port 135 i routerne, hvis der anvendes Active Directory, da det kan give problemer med synkroniseringen mellem serverne.

Opsporing af systemer som ikke er opdateret med Microsoft rettelsen
Der er mange metoder at finde de systemer, som mangler at får indlæst rettelsen. Foundstone har frigivet RPCScan v1.01, et gratis værktøj, som kan scanne alle jeres ipadresser på en gang. Det kan anvende de samme ipadresselister som ovenstående SuperScan
RPCScan fra www.foundstone.com

Hvordan kan virus/orme af denne type stoppes i fremtiden?
Det er nødvendigt at indføre procedurer således at alle systemer løbende opdateres med de vitale rettelser der frigives.
Det er nødvendigt løbende at verificere at systemerne er opdateret med disse vitale rettelser.
Det er ikke nok at bero på den beskyttelse en gateway firewall ud mod internettet giver. Der er mange "bagveje" en virus/orm kan komme ind på netværket via.
Firewall beskyttelse på de enkelte systemer kan være en god løsning, og det vil blive fremtiden for at opnå den bedste beskyttelse.
Intrusion detection systemer på de enkelte systemer eller/og centralt kan være en god løsning.