29-01-04

bipt droomt van een wereld zonder belangrijke virussen

Zoek maar naar de informatie over doom.A, ze is vervangen door de variant .b die minder belangrijk is, terwijl de mailservers en de netwerken overal nog de gevolgen en aanvallen van .A vatten en proberen op te vangen, spreekt men over deze kleine variant
 
over de A.
wat je ook kan doen
- de klok op het netwerk van de pc's enkele dagen vooruit zetten. Daardoor begint de aanval niet op zondagavond 16h UTC maar dinsdag, wanneer je er bent en je maandag alles in orde hebt gebracht.
Zelfs als de klok vooruit wordt gezet tot na 12 februari, dan nog blijft de trojan access gelden. De virus stopt, maar de trojan toegang en auto-download (lees stuk over botnets) blijven bestaan.
Je MOET dus de pc's kuisen.
 
- indien je op je routers al probeert de toegang tot SCO.com, microsoft.com of 0.0.0.0. te stoppen, moet je er wel zeker van zijn dat deze de last zullen kunnen dragen want deze routers zullen anders elk pakket daarop moeten onderzoeken, dus of je hebt sniffers of een proxy of je kan alleen proberen te sniffen (onderscheppen) en dan kan je die pc's van het netwerk halen.
 
- stop alle kazaa activiteit op het netwerk. Dit kan je door ofwel de poorten te stoppen, maar kazaalite gaat via poort 80, maar ook door de downloads van multimediabestanden te stoppen.
Indien je dat niet kan. Installeer een kazaalite in je netwerk en zet hem als supercomputer en wacht gewoon en tegelijkertijd, noteer de adressen van supercomputers die hij vindt en blokkeer die in de firewall. Zorg evenwel dat je deniedsites accesslist in je firewall niet groter is dan 100 want anders zal die vertragen.
Je kan SCO.Com op de firewall ook afsluiten, maar zorg dat je ook de DNS traffiek stopt, want hij zal tevens dns traffiek doen voor hij op poort 80 http doet. Je kan dit waarschijnlijk ook al in je dns server zelf ook doen.
 
Men is er helemaal niet uit wat dit virus zondag zal doen, al was het omdat de code encrypted was en omdat er zoveel problemen tegelijkertijd opduiken dat ik me afvraag wanneer die mensen nu zullen slapen. BIPT heeft daar geen last van.
 
- indien je de pc's geïnventariseerd hebt op programma's en bestanden kan je ook zoeken op de bestanden die de virus installeert en ze er zo uittrekken.
 
Denk niet, dat je niet besmet kan geraken. Er is zelfs met vele filters nog altijd leakage. Een situatie zoals deze is interessant omdat je verschillende nieuwe dingen ontmoet.
 
Wat in het kader van deze virussen ook zal moeten herbekeken worden is niet zozeer de benaming van je mailserver. Hij zoekt immers op poort 25 naar een aantal traditionele namen voor mailservers, maar de toegang tot de mailserver voor applicaties. In een mailserver kan je soms stellen dat men moet authentificieren of kan men het aantal applicaties dat recht heeft op contact specifiëren. Tot nu toe was het meestal zo dat men intern 'iedereen trusted' beschouwd, maar dit zal niet meer kunnen opgaan.
 
EKZ
 
 

13:09 Gepost door technology changes fast not a lot | Permalink | Commentaren (0) |  Facebook |

De commentaren zijn gesloten.