Het Academisch Ziekenhuis Maastricht (AZM) weet nog niet hoe het netwerk is besmet met het virus W32/Sality-virus. Daar doet het ziekenhuis nog onderzoek naar. De computerproblemen die ontstonden door het virus zijn inmiddels wel opgelost. Op 22 maart zijn 3500 van de 4000 werkplekken virusvrij gemaakt.
Het Maastrichtse ziekenhuis had sinds dinsdag 16 maart 2010 last van het W32/Sality-virus. De computersystemen werden traag, waardoor werken bijna onmogelijk werd. Woensdag 17 maart maakte en installeerde het ziekenhuis een dat-bestand. Dit bestand identificeerde de samenstelling van het virus. Dit bestand werd een paar keer per dag ververst. ‘Mutanten waren zo sneller op te sporen en te bestrijden', zegt een woordvoerder van het ziekenhuis.
Toch lukte het niet om de systemen van het ziekenhuis nog voor het weekend virusvrij te maken. ‘Een ziekenhuis moet zeven dagen per week, 24 uur per dag operationeel blijven. Daarom kan het systeem niet zomaar worden uitgeschakeld. In geval van een computervirus leidt het volledig platleggen van het systeem vaak het snelste tot een oplossing. Het duurde daarom langer voordat een bruikbare en werkbare oplossing kon worden gevonden en geïmplementeerd', zegt de woordvoerder.
Onder controle
Het ziekenhuis zegt dat het virus nog niet 100 procent is uitgeroeid, maar dat de situatie wel onder controle is. Het volledig uitroeien is ingewikkeld omdat het een nieuwe variant betreft en omdat het virus snel muteert, aldus de woordvoerder. ‘Het systeem wordt nu continu gemonitord door extra sensoren die zijn geïmplementeerd en elke vreemde in- en externe beweging wordt bekeken.
Alleen de administratieve systemen hadden last van het computervirus. De medische systemen zijn niet op het besmette netwerk aangesloten.
Take the following steps to help prevent infection on your system:
•Enable a firewall on your computer.
•Get the latest computer updates for all your installed software.
•Use up-to-date antivirus software.
•Use caution when opening attachments and accepting file transfers.
•Use caution when clicking on links to Web pages.
•Avoid downloading pirated software.
•Protect yourself against social engineering attacks.
•Use strong passwords.
Je kan alles beveiligen, echter de gebruiker zelf blijft ook zwakke schakel in het geheel.
En wat te denken van versleping van virussen door usb-sticks e.d.?
Onlangs kwam ik in een instituut in Aden (Jemen) externe HD’s tegen met meer dan 90 visussen waaronder ook een W32-variant. De geupdate virusscanner op mijn meegenomen laptop onderkende dat aantal visussen ten minste. Of er meer virussen op zaten weet ik niet maar mijn 8GB usb-stick stikte er van nadat ik enkele bestanden van die HD’s had overgenomen. Overigens zij de herkende virussen wel door mijn virusscanner “gekilled”.
Het “W32/Sality-virus”kan ook binnengebracht zijn via een – door een ander virus gecreerde BACKDOOR.
Dus als je denkt dat je het ene (herkende) virus hebt verwijderd, muteren twee andere – nog niet ontdekte – virussen op je computer zich weer.
Deze twee andere virussen injecteren de orginile variant (onder een andere bestandsnaam) weer terug op je “geschoonde systeem”.
Tezamen – met zijn 3 en – maken ze weer een BACKDOOR en halen zo de volgende telg van de W32-virus familie binnen je systeem.
Dit soort “muterende en samenswerkende virusduo, trio’s” kun je dus alleen maar afdoende verwijderen
– met externe (via bootable cdrom,
– LiveCD virusscanners varianten
die het huidige besmette opearting system, kompleet lamleggen en uitschakelen tijdens de opsporing van virussen op de geinfecteerde harddisk.
Of met het handje (en Hijack This) uitpluizen, als het met automatische verwijderingstools niet lukt.
Hoe komt het dat 500 machines niet virusvrij hoefden worden gemaakt?
“Alleen de administratieve systemen hadden last van het computervirus. De medische systemen zijn niet op het besmette netwerk aangesloten.”
Dat hebben ze dan toch goed voor elkaar.
Even los van het virusprobleem: het is een compliment waard dat er voor een netwerkarchitectuur is gekozen die de core business scheidt van de administratieve systemen. Momenteel is er een sterke centralisatietrend gaande die het belang van een dergelijk scheiding bagatelliseert. Het valt op lokaal niveau niet mee om de wijsheden van het centrale (en dus ook hogere geplaatste) IM-orgaan, weerwoord te bieden. Dit soort voorbeelden spreken boekdelen! Een scheiding van lokale core business systemen van een centraal (mogelijk globaal) netwerk is een must. In het geval van een ziekenhuis gaat het letterlijk om levensbelang.