God beskrivelse av viruset og hva det gjør

Et innlegg fra e bruker som kaller seg "Kenny" på adressa.no har en god beskrivelse på hvordan conficker-viruset opptrer på PCer og i nettverk. For den som er mer enn gjennomsnittlig datainteressert og som synes den generelle informasjonen fra oss blir for "lettbeint" og upresis kan dette være godt lesestoff. Jeg har derfor sakset innlegget og regner med at både Kenny og Adressa.no synes det er greit.

Jeg registrerer at Kenny også har noen spark både til en nærværende informasjonssjef og til IT-avdelingen hos oss, men såpass tåler vi. Vi får komme tilbake til skyld og årsak når den tid kommer. For oss handler det først og fremst om å finne en løsning som virker og som gjør at viruset ikke dukker opp igjen umiddelbart. Noen av de tiltakene som Kenny beskiver prøves ut i den forbindelse og vi håper å finne en løsning som innebærer det som her beskrives som en "wake on lan"-løsning.

Nok fra meg. Her er innlegget fra Kenny:

"Denne informasjonssjefen vet tydeligvis ikke helt hva han snakker om. Viruset gjør det ikke umulig å logge seg på igjen. Det eneste viruset gjør er å slå av Windows Update, brannmurer og en del porter. Med andre ord, ormen gjør hele pcen åpen slik at annet dritt kan komme inn uhemmet.Ormen lagrer seg i diverse filer på pcen, i system restore-katalogen, samt minnebufferen. Noe som betyr at dersom man sletter ormen og restarter pcen, så vil det komme tilbake igjen etter en omstart.Viruset sprer seg blant annet via nettverket på en meget lur måte. Det scanner hele IP-rangen som maskinen befinner seg i og sprer seg deretter til alle IP-ene i samme range. Noe som betyr at det holder at en pc er koblet til nettet for at den skal få det. Trenger ikke å åpne noen nettsider eller noe. Men det er ikke så vanskelig å fjerne. Det finnes verktøy man kan bruke slik at man starter pcen opp fra en cd, minnepenn eller PXE (nettverksboot)På denne måten kan man bruke programvare som scanner hele pcen FØR maskinen logges på. Og da blir man kvitt viruset. Nedsiden er jo at dette må gjøres på alle pcene. Derfor er det smart med "wake on LAN" slik at man får automatisert dette til å skje på samtdlige pcer samtidig.

Samtidig er det helt tydelig at Nord-Trøndelag Fylkeskommune bør ha refs for dette. Det kom en oppdateringspatch fra Microsoft i OKTOBER som var satt til Important og ville installert seg selv automatisk dersom IT-ledelsen i fylkeskommunen bare hadde sørget for å spre denne på alle pcene, noe de er pålagt å gjøre.