התולעת "בלאסטר": תמונת מצב
כ-330 אלף מחשבים נפגעו ברחבי העולם, אלפים רבים מתוכם בישראל. הגל הראשוני של התקיפות שכך, אך ייתכן המשך בסוף השבוע. המשמעות: הדור הנוכחי של תוכנות האנטי וירוס כשל, האיומים העתידיים יהיו מתוחכמים יותר
כ-330 אלף מחשבים נפגעו ברחבי העולם מתולעת המחשבים "בלאסטר", על פי הערכת המצב העדכנית של סימנטק, המבוססת על נתונים ממערכות ההתרעות של החברה, הפזורים בלמעלה מ- 150 מדינות. על פי הערכות ספקי האינטרנט, אלפים רבים נדבקו בתולעת בישראל.
סימנטק גם מדווחת כי בהשוואה לתולעי מחשבים קודמים כמו קוד-רד, נימדה או סלאמר, תולעת בלאסטר מתפשטת בעולם בשיעור נמוך יותר. אולם, פוטנציאל הנזק של "בלאסטר" גדול הרבה יותר בשל המספר העצום של מחשבים עם מערכות ההפעלה חלונות 2000 וחלונות XP, בהן מצויה פרצת האבטחה. בהתאם לנתון זה, סימנטק מדווחת כי מספר המערכות הכולל שנפגע מקוד-רד, נימדה וסלאמר, הנו קטן יותר ממספר מערכות המחשבים שעלול להיפגע מתולעת בלאסטר.
סימנטק גם מתריעה מפני גרסאות חדשות של תולעת בלאסטר, שעלולות לגרום לנזקים נוספים בימים הקרובים, לפני שכמות מספקת של אנשים יספיקו להוריד תיקון מפני התולעת.
המשמעות של בלאסטר
לא מן הנמנע, כי "בלאסטר" מבשרת על דור חדש של איומים משולבים (Blended Threat), התקפות שמשלבות מאפיינים של וירוסים, תולעים, סוסים טרויאניים ומנצלות פירצות בשרתים ובשירותי רשת כדי להתפשט באופן עצמאי ולהתקיף במחשבים באינטרנט באמצעות שיטות שונות.
שלא כמו וירוסים המתפשטים דרך הדואר האלקטרוני, תולעי אינטרנט לא מופצות בהודעות ומתפשטות ללא סיוע אנושי. "בלאסטר", למשל, סורקת כתובות אינטרנט ומנסה להפיץ עצמה ל-20 מחשבים שונים בו זמנית. תהליך הסריקה הזה יוצר תעבורת מידע רחב ומעמיס על המחשב האישי הנגוע והרשת.
תולעי מחשבים קודמות כמו "סלאמר", שהתפשטה מוקדם יותר השנה או "קוד רד" מ-2001 היכו קשות ברשתות ארגוניות ברחבי העולם וגרמו נזקים המסתכמים ביותר משני מיליארד דולר, על פי הערכות חברות האנטי וירוס.
"בלאסטר" תקפה בעיקר מחשבים ביתיים, מטרה קלה לעומת הרשתות הארגוניות, המאובטחות בהרבה. הנזק הכלכלי של מתקפה כזו אינו ניתן לכימות, אך האפקט הפסיכולוגי שלה חזק יותר מכל התקפה בעבר בגלל הפגיעה ההמונית בעשרות אלפי משתמשים הביתיים. גולשים מבוהלים שיתקו את מוקדי התמיכה של ספקי האינטרנט, שעובדים בימים האחרונים קשה יותר מהרגיל. בטווח הארוך, מתקפות מסוג זה עלולות לערער את ביטחון המשתמשים במחשבים ובשירותים באמצעות האינטרנט.
החולשה של תוכנות האנטי וירוס
המתקפה האחרונה חשפה את החולשה הגדולה של תוכנות האנטי וירוס: חוכמת הבדיעבד. התוכנות האלה לעולם מתכוננות למלחמה שהייתה, ומעדכנות וירוסים חדשים בקובצי הנתונים שלהן רק לאחר שאלה כבר פגעו. הארכיטקטורה הנוכחית של תוכנות האנטי וירוס אינה יעילה נגד איומים משולבים ווירוסים פולימורפיים (משני צורה) ותולעים מתוחכמים, שבוחרים להתפשט דרך כל ערוץ אפשרי – פרוטוקולים פתוחים וכשלי אבטחה בדואר האלקטרוני, אתרי אינטרנט, הרשת הביתית או הארגונית ועוד. דרושות תוכנות אנטי וירוס חכמות יותר, פרו אקטיביות שמזהות וירוסים חדשים על פי התנהגותם.
מי שחושב שדי לו בתוכנת אנטי וירוס כדי להתגונן מפני התקפות מהאינטרנט טועה. אבטחת המחשב האישי לא תהיה שלמה בלי פיירוול, גם בבתים. משתמשים ביתיים יצטרכו להקדיש תשומת לב רבה יותר לטלאי אבטחה חדשים, המופצים על ידי מיקרוסופט במטרה לתקן כשלי אבטחה.
המתקפה הראשונית של "בלאסטר" התפוגגה, אך הסיפור שלה טרם הסתיים. החל מיום שבת, כל מחשב אישי הנגוע בתולעת צפוי להתחיל להציף במידע את שירות Windows Update (אותו שירות המשמש להורדת עדכוני אבטחה). מתקפת שלילת השירות (DoS) הזו עלולה לחסום את הגישה לאתר בפני גולשים המבקשים להוריד את העדכון נגד הווירוס.
איך מתגוננים?
מיקרוסופט הפיצה טלאי נגד כשל האבטחה עוד בחודש שעבר, וניתן להוריד אותו באמצעות שירות Windows Update (יש להיכנס לאתר ולהוריד את כל עדכוני האבטחה הקריטיים).
באופן כללי, רצוי לבקר לעתים קרובות באתר Windows Update ולהוריד את טלאי האבטחה האחרונים עבור הדפדפן ומערכת ההפעלה שלכם. חשוב להשתמש בתוכנת פיירוול אישית. אפשר להוריד את תוכנת הפיירוול הפופולרית Zone Alarm מהכתובת הבאה (הגירסה הבסיסית היא החינמית). כדי להפעיל את תוכנת הפיירוול האישית המשולבת ב-Windows XP, עיקבו אחר הצעדים הבאים:
1. יש לבחור בהגדרות חיבורי הרשת (תפריט התחל>התחבר אל>הצג את כל החיבורים).
2. בתוך חיבורי הרשת יש לסמן את החיבורים הזמינים (אחד אחר השני), ולבחור באפשרות ההעדפות (properties) בקליק הימני בעכבר.
3. עם פתיחת תיבת הדו שיח, יש לבחור את הלשונית "מתקדם" (Advanced) ולסמן את אפשרות הפיירוול האישי.
כל חברות האנטי וירוס המובילות הפיצו עדכון נגד התולעת. יש לעדכן את תוכנת האנטי וירוס ולהפעילה.
ואם נדבקתי, מה עושים?
הפתרון הבא מיועד עבור Windows 2000, XP ו-2003:
כאשר מופיע חלון הכיבוי, היכנסו לתפריט התחל >הפעלה והקלידו את הפקודה הבאה:
Shutdown –a (קיים רווח בין המילה "Shutdown" למילה "-a")
ולחצו על המקש Enter.
פקודה זו תבטל באופן זמני את תהליך ההפעלה מחדש.
על מנת לבטל את ההפעלה מחדש בעת שנוצר עומס על שירות ה RPC בצעו את התהליכים הבאים כאשר המחשב אינו מחובר לאינטרנט:
1. היכנסו לתפריט התחל -> הפעלה והקלידו את הפקודה הבאה:
Services.msc
ולחצו על המקש Enter.
2. בחלון שייפתח, לחצו לחיצה כפולה על השירות Remote Procedure Call (RPC).
3. כעת היכנסו ללשונית "שחזור" (Recovery), וודאו כי:
כשל ראשון (First Failure).
כשל שני (Second Failure).
אירועי כשל עוקבים (Subsequent Failures)
מוגדרים כ"הפעלה מחדש של השירות" Restart the Service)
לחצו על אישור (OK).
לאחר שניתן להיכנס לאינטרנט, פנו לחלק "איך מתגוננים?" בכתבה זו. באתר האינטרנט של מיקרוסופט ישראל פורסמו הוראות דומות בפירוט, ובסופן ההמלצה: "מיקרוסופט ממליצה לבצע פירמוט והתקנה מחדש של מערכת ההפעלה במחשב שנפגע, על מנת לוודא הסרה מלאה של התולעת בלאסטר" - צעד מיותר ובלתי נחוץ, ברוב המקרים. אנו ממליצים לכל מי שנפגע מהווירוס ואינו יכול להסירו על פי ההוראות שפורטו בכתבה לפנות לאחד ממרכזי התמיכה ולא לפרמט את המחשב.
