תולעת חדשה תוקפת מחשבים בישראל

תולעת מחשבים חדשה בשם Sasser החלה לתקוף בבוקר שבת מחשבים בישראל. הווירוס מתקיף מחשבים עם מערכת ההפעלה Windows, על גרסאותיה השונות, גורם לבעיות התחברות וגלישה ועשוי לכבות את המחשב לאחר 60 שניות. על פי ריבוי הדיווחים על פגיעת הווירוס בארץ, נראה כי הפגיעה העיקרית של Sasser היא בישראל, על אף כי ידוע על התפשטותה גם במדינות אחרות. 

עזרה ראשונה

1. כדי להפסיק את פעולת התולעת, חברת בזק בינלאומי ממליצה ללחוץ על ALT+CTRL+DEL, פעולה שתביא לפתיחת החלון מנהלי המשימות של Windows .

2. כעת יש ללחוץ על הכרטיסיה "תהליכים" (processes) ולחפש תהליך בשם avserve או כל תהליך אחר עם שם המורכב מארבעה או חמישה תווים ובסופם _up.exe (למשל, 74354_up.exe). יש לסמן את התהליך ללחוץ על "סיים תהליך" (end process). יש לציין, כי פעולה זו אינה מנקה את התולעת מהמחשב והיא מהווה טיפול ראשוני בלבד.

3. כדי לוודא כי התולעת לא תפעל עם ההפעלה מחדש של המחשב, יש ללחוץ על "התחל" ולאחר מכן על "הפעלה".

4. בחלון שנפתח יש להקליד "msconfig" וללחוץ על אישור.

5. בחלון שמוצג יש לבחור בלשונית startup.

6. כעת יש לאתר את השורה הכוללת את avserve.exe ולהסיר ממנה את הבחירה.

7. ללחוץ על אישור ולהפעיל מחדש את המחשב.

כיצד מסירים את התולעת לתמיד? 

מקאפי הפיצה עדכון עבור משתמשי תוכנת האנטי וירוס שלה. סימנטק עדכנה את קובצי החתימה שלה בתולעת החדשה עבור משתמשי "נורטון" (העדכון יתבצע באופן אוטומטי באמצעות LiveUpdate וניתן גם להורידו באופן ידני דרך הקישור), וכך גם נהגה חברת פנדה.

גם גולשים שאינם משתמשים בתוכנות האנטי וירוס שהוזכרו יכולים להשתמש בשירותי הסריקה המקוונים שלהן, ולהסיר את הווירוס מהמחשב. שירותי הבדיקה המקוונים של מקאפי , סימנטק או פנדה יסרקו את המחשב האישי בחיפוש אחר הווירוס וימחקו אותו, אם יימצא.

כמו כן, מומלץ להוריד את העדכונים האחרונים מאתר Windows Update של מיקרוסופט. מומלץ לכל הגולשים שטרם הורידו והתקינו את העדכונים לעשות זאת באופן מיידי.

מישראל נפתחה הרעה

בדומה לתולעת בלאסטר, נראה כי Sasser תקפה בעיקר בישראל. באתרי חדשות הטכנולוגיה העולמיים אין עדיין דיווחים על ההתקפה וגם חברות האנטי וירוס מייחסים לה רמת תפוצה נמוכה, בינתיים. מקאפי וסימנטק קבעו לווירוס רמת סיכון נמוכה. חברת טרנד מיקרו מגדירה את Sasser כבעל פוטנציאל סיכון גבוה אולם טרם התקבלו אצלה דיווחים רבים על הידבקות בו. באתר חברת פנדה מוצג גרף הממחיש את אופן התפשטות התולעת בעולם ואמנם, שיעור התפוצה בישראל הוא כרגע הרב ביותר, כאשר לאחריה טייוואן, ספרד וצרפת.

למרות זאת, נראה כי מספר ההדבקות של Sasser בישראל נמוך יותר מהתקפות דומות כמו של התולעת בלאסטר, בעיקר בשל הערכות ספקי האינטרנט. "הפגיעה של התולעת מזערית בשלב זה", אומר אריאל פיסצקי, מנהל תחום אבטחת המידע בחברת נטוויז'ן, "חסמנו את הפורט דרכו מתפשטת התולעת כבר לפני ימים, לאחר שלמדנו על כשל האבטחה שעלול להוביל ליצירת תולעת כזו. לפיכך, רוב הלקוחות שלנו מוגנים לחלוטין מפני התולעת למעט סוג מסוים של חיבורי כבלים שלא ניתן לבצע את החסימה לגביהם. נסיר את חסימת הפורט לאחר שנוודא כי חלפה הסכנה להתפשטות תולעים שמנצלות אותה".

מיקרוסופט התריעה

בדומה לבלאסטר, גם הפעם מיקרוסופט התריעה מראש על כשל האבטחה והפיצה עדכון אבטחה, אך משתשמשים, שאינם מורידים עדכוני אבטחה למחשב שלהם, נותרו חשופים. 

Sasser עושה שימוש בפירצת אבטחה קריטית שנתגלתה לאחרונה בדפדפן אינטרנט אקספלורר של מיקרוסופט, פוגעת בכל מערכות ההפעלה מתוצרתה ועדכון עבורה זמין להורדה באתר החברה. הפירצה, המתוארת בעדכוני האבטחה של מיקרוסופט לחודש אפריל, מאפשרת הרצת קוד זדוני על המחשב מרחוק, באמצעות האינטרנט. כאמור, יש להוריד ולהתקין את העדכון באופן מיידי במסגרת העדכונים האחרונים באתר Windows Update.  

כיצד פועלת התולעת?

התולעת סורקת כתובות IP של מחשבים באינטרנט בחיפוש אחר מערכות בלתי מוגנות. כאשר היא מוצאת מחשב לא מוגן, היא מנצלת כשל אבטחה בהליך LSASS.EXE כדי ליצור סקריפט המוריד את הקובץ avserve.exe באופן אוטומטי לתיקיית Windows במחשב באמצעות יציאה (port) מספר 5554. מדובר בקובץ exe הכוללים בשמם את הצירוף _up (לדוגמה: 16931_up.exe).

הווירוס גורם להתרסקות מערכת ההפעלה ולכיבוי והפעלתה מחדש תוך 60 שניות. התולעת מוסיפה מפתח למערכת הרישום המורה למערכת ההפעלה להריץ את הווירוס עם כל הפעלה של Windows. לאחר מכן, התולעת סורקת כתובות IP של מחשבים באינטרנט בחיפוש אחר מערכות בלתי מוגנות נוספות. Sasser יוצרת יוצרת קובץ בשם win.log תחת כונן C, בו רשומות כתובות IP של מחשבים נגועים.

כיצד למנוע הידבקות?

יש להשתמש בתוכנת פיירוול. כדי להפעיל את תוכנת הפיירוול האישית (ICF) המשולבת ב-Windows XP, עיקבו אחר הצעדים הבאים: 

1. לחצו על "התחל" ובחרו באפשרות "לוח הבקרה".

2. בתוך לוח הבקרה, בחרו באפשרות "חיבורי רשת". 

3. בחלון חיבורי הרשת, בחרו בחיבור שמתחתיו מופיע הכיתוב "מקושר", לחצו על הכפתור הימני בעכבר ובחרו באפשרות "מאפיינים". 

4. בחרו בלשונית "מתקדם" וסמנו את האפשרות "הגן על המחשב ועל הרשת שלי על-ידי הגבלה או מניעה של גישה למחשב זה מהאינטרנט.

שימו לב: תוכנת הפיירוול של Windows XP מוגבלת למדי ומספקת הגנה בסיסית בלבד. אם מידע רגיש דולף מהמחשב שלכם, כתוצאה מסוס טרויאני או מכל סיבה אחרת, תוכנת ה-ICF לא תגלה זאת. תוכנות פיירוול מומלצות יותר הן Zone Alarm  ,Sygate ו-Kerio. לפרטים נוספים מומלץ לבקר במדריך ynet בנושא הגנה מלאה מווירוסים.