Het netwerk van het Academisch Ziekenhuis Maastricht was geïnfecteerd met het virus W32/Sality.gen.e. Dat zegt anti-virusleverancier McAfee. Het bedrijf helpt het Maastrichtse ziekenhuis bij het oplossen van het probleem. Het ziekenhuis heeft inmiddels tweeduizend van de drieduizend computers virusvrij gemaakt.
‘Het virus probeert bestanden op het netwerk te besmetten, maar ook op lokale domeinen. Als een gebruiker rechten heeft om bestanden weg te schrijven op netwerkschijven kan het heel snel kan gaan', zegt de anti-virusleverancier. De kwaadaardige software speurt de computer af naar Windows PE-bestanden. Win32 PE (Portable Executable) is het format voor executables, dll-bestanden en objectcodes die sinds 1995 worden gebruikt in 32 of 64-bits besturingssystemen van Windows. McAfee ontdekte de kwaadaardige software op 19 maart 2010.
Het infecteren via dit soort bestanden is een gemakkelijke manier om een virus zich snel te laten verspreiden, zegt de maker van anti-virussoftware. ‘Deze techniek was tot jaren geleden gebruikelijk bij het schrijven van virussen voor maximale aandacht, corruptie van bestanden of om systemen down te krijgen.'
Traag
Gebruikers merken dat de computer besmet is doordat deze traag wordt. Dat komt omdat bestanden groter lijken dan dat ze daadwerkelijk zijn, door de aanwezigheid van ongeldige registersleutels en omdat de computer verbinding probeert te maken met bepaalde websites.
Hoe lastig het is om het virus van een netwerk te verwijderen hangt volgens de leverancier van anti-virussoftware ‘volledig af van de situatie'. McAfee raadt aan anti-virussoftware te gebruiken om het virus te detecteren en op te ruimen. Ook de wijzigingen die in het register of ini-bestanden zijn gemaakt worden dan teruggedraaid.
Trager
Het AZM werd dinsdag 16 maart 2010 getroffen door een computervirus. Werknemers konden wel werken, maar de administratieve systemen zijn trager. Patiënten moeten daarom soms wat langer wachten voordat ze geholpen worden. Alleen de administratieve systemen hebben last van het computervirus. De medische systemen zijn niet op het besmette netwerk aangesloten. Inmiddels zijn tweeduizend van de drieduizend systemen virusvrij gemaakt. De overige computers worden naar verwachting vandaag 23 maart 2010 geschoond.
Wel bijzonder dat de kwaadaardige software sinds 19 maart 2010 schade aanricht op bedrijfsnetwerken.
maar dat het bij het AZM al op 16 maart 2010 voorkomt.
Dan hier is terecht te vragen welke webbrowser gebruiken ze bij het ziekenhuis om het virus op te lopen.
Ik wed 50euri dat ze nog steeds op IE 6 draaien
Wil je die € 50,- cash geven of overmaken per bank?
Richard 1, waarom zou het aan IE 6 liggen? Het gaat m.i. om een polymorf virus, geen exploit script.
AZM draait niet meer op IE6 op het administratieve netwerk (waar het virus actief IS)
Tja… Dat heb je, als je Windows gebruikt – veels te onveilig. En helemaal voor een ziekenhuis. Eigenlijk gewoon schandalig dat een ziekenhuis zo massaal vatbaar is voor W32-virussen.
Hoog tijd voor Linux.
En als een PC besmet is met een virus die (zoals bij dit virus) op zoek gaat naar websites, kunnen er rootkits worden geïnstalleerd (vanaf die websites). Dus niet simpelweg een virusscanner installeren en ’t virus opruimen. Het systeem is in zijn geheel niet meer te vertrouwen (voor zover je Windows al uberhaupt kunt vertrouwen, security wise). Tegenwoordig kunnen virussen zelfs actief blijven (in ’t geheugen of zelfs in flashable hardware components) als je de boel formatteert en opnieuw installeert.
Dat moet McAfee toch ook weten…
En als je dan toch opnieuw begint: pak dan Open Source. Vele malen veiliger.
Hoe zit het eigenlijk met de beveiligingen van de local host ? Mensen zullen bij het AZM toch geen local admin rechten hebben ? Domain policy ?Tenminste, ik weet niet hoe dit virus in elkaar steekt. Maar dan kunnen er lijkt me geen registry keys worden weg geschreven en of zaken geinstalleerd worden ? Maar geen idee hoe dit virus zich verder verspreid..
MM heeft blijkbaar geen idee wat het voor een bedrijf betekent om van het ene naar het andere platform te migreren voor een paar duizend werkstations en een paar honderd servers. Afgezien van de talloze miljoenen aan directe kosten, heb je indirecte kosten zoals opleiding, gewenning, onvoorziene compatibility-problemen, het zoekevan van alternatieven voor de software die op het nieuwe platform niet bestaat, en ga zo maar door.
Erg gemakkelijk om weer eens te roepen dat het met open source of Linux allemaal beter wordt.
“MM heeft blijkbaar geen idee wat het voor een bedrijf betekent om van het ene naar het andere platform te migreren voor een paar duizend werkstations en een paar honderd servers.”
Da’s dus juist een extra reden om nooit aan Windows te beginnen – de lock-in, waar je aan refereert.
Ok, van de ene op de andere dag alles omzetten is natuurlijk te optimistisch (da’s natuurlijk ook al jarenlang net de insteek van Microsoft: een overstap naar een concurrerend platform zo moeilijk mogelijk maken). Ik chargeerde. Maar het zou leidinggevenden toch eens aan ’t denken moeten zetten – bij Linux zijn nog nooit virusgolven geweest. Maar ja, waarschijnlijk kennen die leidinggevenden niet eens Linux. Het argument is niet “op welk platform kunnen we ’t beste werken” (als ze al uberhaupt meerdere platformen kennen) – het is meer iets van: “thuis draai ik Windows, dus wil ik dat op mijn werk ook”.
Als je al Open Source en Open Standaarden had, kan je gewoon overstappen op een ander systeem wanneer je maar wilt. Met Windows is dat niet zo eenvoudig.
Anyway, een virusscanner installeren op een PC die al een virus heeft, en het virus dan verwijderen: dat lijkt mij sowieso niet genoeg.
1 ding in je rijtje klopt m.i. trouwens niet: gewenning. Als je van XP naar 7 overstapt, of van XP naar Ubuntu: dat maakt weinig uit, m.b.t. gewenning. En waar zou je eigenlijk aan moeten wennen? Je logt in, start een programma middels een icoontje of een andere methode, en klaar is kees. Van het besturingssysteem hoef je niks te weten. Als je benodigde programma’s maar werken.
>> van de McAfee website zelf:
http://vil.mcafeesecurity.com/vil/content/v_260701.htm
# Presence of unexpected registry key(s).
# Services listening on random UDP port(s).
Of om een pc binnen ter dringen en zo een ACTIEVE BACKDOOR te creeren. Hierdoor kan een ge-infecteerde pc worden op genomen in een botnet, voor andere doeleinden.