Работа одной из германских АЭС была приостановлена после того, как в топливной системе станции был обнаружен компьютерный вирус.
Новость в таком изложении заставила поперхнуться чаем и заняться поисками первоисточника. Что же произошло на самом деле?
Согласно Рейтерс и аналогичным новостям в составе информационной сети АЭС Gundremmingen, расположенной на юге Германии (приблизительно в 120 км к северо-западу от Мюнхена), были обнаружены вредоносные программы — несмотря на то, что локальная сеть была изолирована от сети Интернет.
АЭС Gundremmingen в Германии
Вредоносные программы «W32.Ramnit» и «Conficker» были найдены в компьютерной системе энергоблока B, связанной с программным обеспечением визуализации данных по перемещению прутов (видимо имелись в виду тепловыделяющие сборки) ядерного топлива. Кроме того вредоносное ПО было найдено на 8 съемных дисках, в основном USB-накопителях, в офисных компьютерах, которые не подключены к управлению станцией.
Как W32.Ramnit, так и Conficker (он же Win32.HLLW.Shadow.based, Downup, Downadup и Kido) — вредоносные программы, разработанные для ОС Windows. Conficker — легендарный компьютерный червь, эпидемия которого началась 21 ноября 2008 (как раз тогда, когда последний раз проводилась модернизация системы, в которой он был обнаружен). В результате эпидемии было заражено порядка 12 миллионов компьютеров. Подробное описание червя Win32.HLLW.Shadow.based доступно тут.
Ramnit — файловый вирус, предназначенный для кражи денежных средств, поиска файлов в системе, удаленного управления над атакованным компьютером. Имеет механизмам самораспространения (как и всякий вирус), а также содержит руткит. Был обнаружен в 2010 году. Нарушает работу защищенного режима работы Windows путем удаления разделов реестра, которые отвечают за его реализацию. Возможно именно поэтому этот вирус был обнаружен в паре к Conficker — для его удаления может потребоваться перейти в данный режим
Отметим, что эпидемия Conficker'а стала возможной в результате того, что значительная часть пользователей не устанавливала критическое обновление MS08-067. Как правило причиной заражения служит то, что на машине либо отсутствует пароль для учетной записи администратора, либо задан слишком простой не устойчивый к перебору.
Поскольку данный червь встречается до сих пор — не так и давно в техподдержке разбирались с соответствующим случаем, то напоминаем
Приношу извинения за столь капитанские советы — я вырезал их из уже упоминавшегося запроса в поддержку. «Уж сколько раз твердили миру» — но постоянно одно и тоже…
И да не придется вам обращаться в техподдержку за лечением подобных программ!
Новость в таком изложении заставила поперхнуться чаем и заняться поисками первоисточника. Что же произошло на самом деле?
Согласно Рейтерс и аналогичным новостям в составе информационной сети АЭС Gundremmingen, расположенной на юге Германии (приблизительно в 120 км к северо-западу от Мюнхена), были обнаружены вредоносные программы — несмотря на то, что локальная сеть была изолирована от сети Интернет.
АЭС Gundremmingen в Германии
Вредоносные программы «W32.Ramnit» и «Conficker» были найдены в компьютерной системе энергоблока B, связанной с программным обеспечением визуализации данных по перемещению прутов (видимо имелись в виду тепловыделяющие сборки) ядерного топлива. Кроме того вредоносное ПО было найдено на 8 съемных дисках, в основном USB-накопителях, в офисных компьютерах, которые не подключены к управлению станцией.
Как W32.Ramnit, так и Conficker (он же Win32.HLLW.Shadow.based, Downup, Downadup и Kido) — вредоносные программы, разработанные для ОС Windows. Conficker — легендарный компьютерный червь, эпидемия которого началась 21 ноября 2008 (как раз тогда, когда последний раз проводилась модернизация системы, в которой он был обнаружен). В результате эпидемии было заражено порядка 12 миллионов компьютеров. Подробное описание червя Win32.HLLW.Shadow.based доступно тут.
Ramnit — файловый вирус, предназначенный для кражи денежных средств, поиска файлов в системе, удаленного управления над атакованным компьютером. Имеет механизмам самораспространения (как и всякий вирус), а также содержит руткит. Был обнаружен в 2010 году. Нарушает работу защищенного режима работы Windows путем удаления разделов реестра, которые отвечают за его реализацию. Возможно именно поэтому этот вирус был обнаружен в паре к Conficker — для его удаления может потребоваться перейти в данный режим
Отметим, что эпидемия Conficker'а стала возможной в результате того, что значительная часть пользователей не устанавливала критическое обновление MS08-067. Как правило причиной заражения служит то, что на машине либо отсутствует пароль для учетной записи администратора, либо задан слишком простой не устойчивый к перебору.
Поскольку данный червь встречается до сих пор — не так и давно в техподдержке разбирались с соответствующим случаем, то напоминаем
- Обновляйте антивирус и не забывайте проверять, что ваша лицензия — действующая! Как ни странно, но постоянно встречаются системы с системами безопасности, не обновлявшимися годами
- Используйте сложные пароли. Не смешно, частый случай в техподдержке
- Отключите Автозапуск со сменных носителей — если уж не ставите обновления ибо по состоянию на данный момент автозапуск должен быть отключен у всех. Подробную информацию по отключению автозапуска и ссылки на обновление KB967715, необходимое для корректного отключения этой функции в старых версиях Windows, есть на сайте Microsoft: support.microsoft.com/?kbid=967715. Инструкция по блокированию подключения к компьютеру USB-носителей находится по адресу support.microsoft.com/kb/823732
- Устанавливайте обновления! Их выпускают не зря. Для ОС Windows обязательно должен быть установлен патч MS08-067( www.microsoft.com/technet/security/bulletin/ms08-067.mspx ). Дополнительно рекомендуется установить патчи на уязвимости, описанные в бюлетенях MS08-068 ( www.microsoft.com/technet/security/bulletin/ms08-068.mspx ) и MS09-001 ( www.microsoft.com/technet/security/bulletin/ms09-001.mspx )
- Периодически сканируйте систему в поисках ранее неизвестных вредоносных программ. Поверка на руткиты осуществляется обычно автоматически
Приношу извинения за столь капитанские советы — я вырезал их из уже упоминавшегося запроса в поддержку. «Уж сколько раз твердили миру» — но постоянно одно и тоже…
И да не придется вам обращаться в техподдержку за лечением подобных программ!
