Het Academisch Ziekenhuis in Maastricht (AZM) heeft nog steeds last van een computervirus. De werknemers van het ziekenhuis kunnen wel werken, maar de administratieve systemen zijn trager. Patiënten moeten daarom soms wat langer wachten voordat ze geholpen worden. Het ziekenhuis heeft sinds dinsdag 16 maart 2010 last van het computervirus.
‘Het is een hardnekkig virus dat muteert', zegt een woordvoerder van het ziekenhuis. Het ziekenhuis heeft inmiddels een oplossing voor het probleem gevonden. Die oplossing wordt inmiddels in een live-omgeving getest. Wat die oplossing is, kan de woordvoerder niet zeggen. Anti-virusleverancier McAfee helpt het ziekenhuis bij het oplossen van het probleem.
Eerder liet een woordvoerder van het ziekenhuis weten dat het virus de servers erg traag maakt. Het ziekenhuis zei toen ‘een zogeheten viruskiller te hebben geïnstalleerd'. Daarnaast had het ziekenhuis noodprocedures in werking gezet om het netwerk zo min mogelijk te belasten. Wat die noodprocedures precies zijn, verschilt per afdeling. Bij de administratieve afdelingen zijn de pc's bijvoorbeeld uitgezet. Daarnaast wordt zoveel mogelijk overgestapt op papieren administratie.
Alleen de administratieve systemen hebben last van het computervirus. De medische systemen zijn niet op het besmette netwerk aangesloten.
Het is maar te hopen dat de hygiene op de OK’s en andere medische afdelingen beter is dan de ICT-hygiene 🙂
Om welk virus gaat het en hoe kunnen andere gebruikers zich beschermen / het virus verwijderen?
1. Zou het gaan om een “digitaal MSRA-virus”, wat inmiddels digitaal resistent is geworden tegen alle bekende anti-virus-middelen d.m.v. zichzelf muterende virus verspreiding en voorplantings code?
2. Het is mogelijk dat hier sprake is van een een meervoudige virus-infectie, waarbij meerdere “digitale bacterien” elkaar helpen om de besmetting van de computer systemen voort te blijven zetten.
Hoe werkt dit (digitale) infectie systeem?
Wanneer er dan 1(van bijv 3,4) “digitale bacillen is herkend (door een domme virushandtekeningen scanner) en opgeruimd, zorgen de andere – nog niet ontdekte “digitale bacillen” voor HER-infectie van de getroffen computersystemen.
McAfee Technologie faalt hierbij:
Blijkbaar is de technologische ontwikkeling van de betrokken anti-virus leverancier McAfee, niet in staat om muterente en SAMENWERKENDE virusen afdoende op te sporen en onschadelijk te maken.
Simpelweg omdat de bestaande virushandtekening – na een mutatie van het virus – geen herkenning meer oplevert voor “traditionele, domme virus-handtekening herkennende technolgieen!!!!!
Ik ben bang dat dit HANDWERK gaat worden, (of de inzet van een technologsich hoogstaande virus-detectie-technologie) waarbij ieder systeem tot op de grond toe (tot diep in de windows-registry) doorgespits zal moeten worden en HANDMATIG de verschillende soorten virusbronnen, een voor een echt uit te schakelen.
Ik heb alvast een paar “Tips voor Tools” voor de viruskillers van het AZM (als het Windows platfrom infecties betreft)
1 – Process Explorer: (Sysinternals)
Om dynamisch het ontstaan van infectie-processen op te sporen
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
– Hijack This:
Voor een zeer diepgaande analysis van registry entries, boot-entries, muteerende dll’s en reeds geinfecteerde processen
http://free.antivirus.com/hijackthis/
– een MD5 / CRC check tool
Hiermee kun je scannen end detecteren welke “dll”, “executables” er muteren tijdens een reboot van een geinfecteerd systeem.
– Maak directory en file dump listings (windiff)
Dan kun je ZIEN wat welke bestanden en BIJKOMEN of AFGAAN.
– Gebruik BOOTABLE CDROMS om je infectie te verwijderen van de systemen.
Als je eigen operatings system niet meer te vertrouwen is moet je overstappen op een ander “schoonmaak platform” om er zeker van te zijn dat je de hele boel niet de KANS geeft op her-infectie (door een van de andere “digitale bacterien”)
Want met eenvoudige verkoop en installatie van een “domme” virushandtekening herkennings scanner alleen ga je dit niet redden. Dit probleem vraagt om een meervoudige, multidisciplare aanpak.
Good luck op de VirusHunt!
MRSA-virus:
http://www.allesovermrsa.nl/
http://www.mrsa-net.nl/nl/
http://noorderlicht.vpro.nl/dossiers/17020208/hoofdstuk/17089599/
http://en.wikipedia.org/wiki/Methicillin-resistant_Staphylococcus_aureus
Als het wat langer duurt dan normaal: maar uit de Windows kijken 😉
De vergelijking met een MRSA gaat volkomen mank, dat is een biologisch systeem.
Je vraagt je af wie daar de leiding over de IT heeft, 4 januari heeft een tijdschrift C’T een CD bij zijn uitgave gedaan met DesinfeC’T de opvolger van Knoppicillin, dat is een linuxvariant om schadeelijke programma’s te verwijderen. Zelf nadenken en zich informeren is blijkbaar niet het sterkste punt daar, zie de problemen met SAP en alle andere foutgelopen of te dure projekten. Nu rennen ze ook weer naar een leverancier, die moet het maar oplossen.
Tijd voor een direktie om maatregelen te nemen.
Vraag is wel: hoe zijn de systemen geïnfecteerd geraakt? Zo’n virus komt niet vanzelf binnen. Dus mogelijke oorzaken:
1) iemand heeft een verkeerde website bezocht en op het verkeerde linkje geklikt;
2) iemand heeft een spam-mail geopend en helaas zat daar het virus in;
3) iemand heeft een gewone mail ontvangen, waar een besmette bijlage bij zat;
3) iemand heeft vanaf een medium (cd, dvd, USB stick etc) iets van thuis meegnomen, helaas met virus;
Wellicht zijn er nog wat mogelijkheden, maar deze paar lijken mij in ieder geval voor de hand liggend. De ‘dader’ weet of van niets of houdt zich stil. In het laatste geval zou het helpen als die zich bekend zou maken, wellicht is het probleem dan sneller op te lossen. Want,… stel dat die persoon het weer doet?
Hoe het kan dat een virus binnenkomt is natuurlijk ook een vraag waard: hoe zijn de systemen beveiligd? Minimaal toch een firewall, scanner-bij-toegang, mail-scanner, SPAM-filter, proxies om ‘verkeerd’ internet af te schermen en wat al niet meer.
Het is wel makkelijk om te zeggen dat de ICT zit te slapen en dat de beveiliging slecht is maar als ik onderstaand bericht lees, snap ik wel dat dit grote problemen heeft kunnen veroorzaken.
Sinds zondagavond 21 maart wordt een oplossing geïmplementeerd die daadwerkelijk lijkt aan te slaan.
Medewerkers van azM werken sindsdien samen met externe specialisten de klok rond om tot een oplossing van het probleem te komen. Er werden diverse programma’s getest, maar telkens bleek dat niet afdoende om deze nieuwe variant van het zeer agressieve en snel muterende (W32/Sality) virus te bestrijden. Sinds zondagavond 21 maart wordt een oplossing geïmplementeerd die daadwerkelijk lijkt aan te slaan. Dat houdt in dat alle ruim 3000 pc’s worden ‘schoongemaakt’ en beschermd. Inmiddels is ruim de helft van de pc’s virusvrij. Daarbij wordt voorrang gegeven aan de pc’s die nodig zijn voor de primaire patiëntenzorg. Indien dit proces inderdaad succesvol blijkt, zullen over circa twee dagen álle werkplekken weer volledig bruikbaar zijn.
Omdat het azM zich momenteel middenin een overgangssituatie bevindt en bezig is oude systemen te vervangen door nieuwe, bestaan er twee systeemomgevingen naast elkaar. De infrastructuur bestaat momenteel daarom uit oude en nieuwe werkplekken. Het is inmiddels bekend dat het virus via de oude omgeving het netwerk en de pc’s heeft geïnfecteerd.
Anderzijds speelt ook de aard van de organisatie een rol bij het vinden van een passende oplossing voor het probleem. Omdat een ziekenhuis een omgeving is die zeven dagen per week 24 uur per dag operationeel moet blijven, kan het systeem niet zomaar worden uitgeschakeld. In geval van een computervirus leidt het volledig platleggen van het systeem vaak het snelste tot een oplossing. Omdat dit vanwege de aard van de ziekenhuisomgeving niet mogelijk is, zijn veel oplossingen die op deze aanpak gebaseerd zijn, niet toepasbaar. Het duurt daarom langer voordat een bruikbare en werkbare oplossing is gevonden en geïmplementeerd.
Op zo’n snel muterend virus loop je achter de feiten aan met je virusscanner.
“Ronald Vermeij”: Je hebt de klok wederom horen luiden, en weet waarachtig ‘weer niet’ waar de klepel hangt!
Jij staat altijd met je kritiek en zogenaamd advies klaar, maar je aangereikte tooltjes die je hier presenteerd, hebben een insteek, kennis en een stel handen nodig, dus wat je hier beweerd gaat niet zo maar werken.
Alleen al het verhaal van jou: “Process Explorer: (Sysinternals)” Weet jij zelf wel hoe geavanceerd deze tool is, ik heb hiervoor een 3 daagse cursus gehad van de maker zelf, en ik vertel uit ervaring, de tool kan meer, als ik ooit zelf had kunnen ontdekken!
Dan beschrijf je: “MD5/CRC check tool”
Welke dombo gaat nu van elk systeem die honderden, duizenden, misschien wel miljoenen bestanden zitten vergelijken met de werkelijke MD5/CRC waarde, over die honderden, misschien wel duizenden geïnfecteerde computers…?
Als ik jou reactie ‘in zijn totaliteit’ lees, kan ik maar 1 ding concluderen; je praat als een kip zonder kop.
Je kent de tooltje wel, maar weet ze niet te gebruiken voor een Enterprise Network Environment.
3000 werkplekken controleren en opschonen is een flinke klus. Heb zoiets één keer bij een opdrachtgever moeten regelen. Dan ben je een klein weekje zoet. McAfee Nederland kan je bij zo’n klus goed helpen. Ze hebben prima personeel. (En nee, ik heb geen McAfee aandelen en ik werk al vele jaren met andere merken.)
Moet je het zelf doen, dan is de lijst met tools van Jan van Leeuwen helemaal niet zo gek en is ze zeker voor een wat kleinere omgeving te gebruiken.
Inderdaad mr.Peters, daarbij is een goede organisatorische insteek, ICT-kennis en heel veel handen nodig, maar ook een open mind. Daarom zou ik Jan niet zo snel een kip zonder kop noemen.
Miljoenen bestanden van misschien wel duizenden geïnfecteerde computers ga je heus niet handmatig vergelijken met de werkelijke MD5/CRC waarde. Een MD5/CRC check tool gebruik je op een slimmere wijze voor de analyse. Jan doet dat vast ook. mr.Peters, vraag het Jan maar zelf eens.
“@mr.Peters”
“”….en ik vertel uit ervaring, de tool kan meer, als ik ooit zelf had kunnen ontdekken!”
Het feit dat jij er een 3 daagse cursus voor nodig had van de maker zelf, en ik het in 1 middag het grootste gedeelte van de mogelijkheden zelf had uitgevogeld had, zonder hulp van buitenaf zegt mij genoeg over je eigen kennisnivo 😉
“…Dan beschrijf je: “MD5/CRC check tool”
Ik geef het aan als mogelijke oplossing…. Dat wil niet zeggen dat je het ook blind moet gaan gebruiken als “een domme kip zonder kop ;-)”
En als ik jouw reactie in zijn totaliteit leest, ben je tot niets meer in staat dan het afkraken van mensen die betrokken zijn vanuit hun vakgebied met hun hardwerkende AZM collega’s en ze hier een aantal suggesties (uit eigen ervaring en kennis) gratis willen delen.. Van enig diepte-ict-technisch inzicht en opbouwende bijdrage … is helaas geen sprake..
@Jan:
MSRA was ook als een geintje bedoeld 😉
Context Ziekenhuis, virus, resistent, muteren.. moet ik nog verder uitleggen of snap je het zo?