Presse kontakter Navn: W32.Klez.gen@mm Kategori: 4 Virus definisjoner: 9.november, 2001 Type: Virus og orm KATEGORI 4 VARSEL På grunn av det økte antall tilfeller av ormen W32.Klez.gen@mm har Symantec oppgradert trusselen for denne ormen til kategori 4. Dette er tilsvarende kategori som bl.a. trussler som Sircam, Badtrans, Loveletter, Code Red og Nimda ble klasifisiert som i fjor og er den første trusselen i år som oppnår denne kategorien. W32.Klez.gen@mm er en generisk betegnelse for varianter av W32.Klez. Datamaskiner som er infisert med W32.Klez.gen@mm vil mest sannsynlig være infisert av variantene W32.Klez.E@mm eller W32.Klez.H@mm. Definisjoner datert 17. april 2002 vil detektere varianten W32.Klez.H@mm. Definisjoner datert 18. april 2002 eller senere vil detektere denne som W32.Klez.gen@mm. W32.Klez.gen@mm er en masseutsendelses orm som søker gjennom Windows adressebøker for email adresser og sender seg videre til alle adresser den finner. Ormen benytter sin egen e-mail SMTP motor for å sende meldingene. Emne og vedleggsnavnet på meldingene velges vilkårlig. Vedlegget vil ha en av de følgende "extensions" eller "etternavn": .bat, .exe, .pif eller .scr. Symantec anbefaler alle nettverksansvarlige å stoppe alle vedlegg med disse etternavnene. Mer informasjon, teknisk beskrivelse og produktuavhengig verktøy for fjerning av ormen finnes på: http://www.symantec.com/avcenter/venc/data/w32.klez.h@mm.html Best Practices Symantec Security respons senter oppfordrer alle brukere og administratorer å følge de følgende generelle sikkerhets rettningslinjer: Skru av og fjern unødvendige services. Mange operativsystem installerer hjelpeprogrammer og tjenester som standard som ikke er kritiske for normale brukere. Dette kan være FTP klienter, telnet og web servere. Disse servicene er typiske angrepsområder. Hvis de blir deaktivert eller fjernet vil sammensatte trusler ha færre muligheter for angrep og man har færre områder å vedlikeholde med patcher og sikkerhetsoppdateringer. Hvis en "sammensatt trussel" (http://www.symantec.com/avcenter/refa.html#blended_threat) utnytter en eller flere nettverkstjenester - kople ut - eller steng tilgang til disse tjenestene til en patch er tilgjengelig. Hold deg alltid oppdatert med de siste patchene - spesielt på datamaskiner som kjører publiserte tjenester og som er tilgjengeligjort gjennom brannmuren. Eksempler på slike tjenester kan være HTTP, FTP, e-mail og DNS tjenester. Håndhev strenge rettningslinjer for passord. Komplekse passord vil gjøre det vanskelig å "cracke" passordfiler på en kompromitert datamaskin. Dette vil avhjelpe et minimum av skade hvis en datamaskin blir infisert eller kompromitert. Konfigurer e-mail servere til å blokkere eller fjerne e-mail som inneholder vedlegg som normalt benyttes for å spre virus. Eksempler på dette er .vbs., .bat,.exe,.pif og .scr filer. Isoler infiserte datamaskiner raskt for å forebygge videre spredning i organisasjonen. Analyser maskinene og gjennopprett maskinene fra klarerte sikkerhetskopier. Lær opp ansatte til å ikke åpne vedlegg om de ikke forventer dem. Dessuten bør man aldri eksekverer nedlastede filer fra Internett uten at man har utført virus skanning av dem. Det er i dag nok å besøke en kompromitert web side for å bli infisert om ikke din utforsker er oppdatert med de siste patcher.