Tietoturva nyt!

23.7.2010

Työkaluja Stuxnet-haittaohjelman rajoitusmenetelmiin

Microsoft ja Siemens ovat julkaisseet automatisoituja työkaluja Stuxnet-haittaohjelman rajotusmenetelmien asentamiseen. Stuxnetin saastuttamia tietokoneita on eniten Iranissa, Indonesiassa ja Intiassa. Windowsin linkkihaavoittuvuuden hyväksikäyttöä on havaittu myös muissa haittaohjelmissa.

Microsoft ja Siemens ovat julkaisseet automatisoituja työkaluja Stuxnet-haittaohjelman rajotusmenetelmien asentamiseen.

Microsoftin Fix It -linkki lataa asennuspaketin, joka muuttaa LNK- ja PIF-oikopolkutiedotojen kuvakkeisiin liittyvät rekisteriavainten arvon tyhjäksi. Tämän jälkeen kaikki kuvakkeet poistuvat käytöstä ja muuttuvat valkoisen paperiarkin näköiseksi. Käyttöjärjestelmä pitää kuvakkeita jonkin aikaa välimuistissaan, joten saattaa kestää hetken, ennenkuin kuvakkeiden ulkonäkö muuttuu. Uudet kuvakkeet, mukaan lukien haittaohjelman luomat, ovat välittömästi pois käytöstä.

Siemensin tarjoaa kahta työkalua. Trendmicron tekemä Sysclean-tarkistustyökalu tarkistaa, onko tietokone Stuxnet-haittaohjelman saastuttama. SIMATIC-tietoturvapäivitys taas tekee samat rekisterimuutokset kuin Microsoftin työkalu. Siemens kuitenkin varoittaa, että viruksen poistaminen saattaa vaikuttaa teollisuusautomaatiojärjestelmän toimintaan ennalta arvaamattomalla tavalla.

Laajoissa ympäristöissä, joissa on käytössä Active Directory (AD), rekisterimuutokset kannattaa tehdä keskitetysti Group Policyn avulla.

Useat tietoturvayhtiöt seuraavat haittaohjelmatartuntoja ja tartuttamisyrityksiä. Stuxnet-haittaohjelmasta on kymmeniä tuhansia havaintoja ympäri maailmaa. Valtaosa havainnosta on Iranista, Indonesiasta ja Intiasta. CERT-FI tutkii parhaillaan suomalaista tartuntaepäilyä.

Windows oikopolkutiedostojen haavoittuvuutta pyritään käyttämään hyväksi myös muissa haittaohjelmissa. Tällä hetkellä on havaittu uusi haittaohjelmaperhe, joka koneen tartutettuaan nauhoittaa näppäimistön painallukset. Eräs jo aikaisemmin tunnettu Autoplay-toimintoa hyväksikäyttänyt haittaohjelma on päivittynyt ja pystyy nyt hyväksikäyttämään oikopolkutiedostojen haavoittuvutta.

Yleisimmillä virustorjuntaohjelmistoilla ja tunkeutumisenestojärjestelmillä on sormenjälkitunnisteet Stuxnet-haittaohjelmasta. Ennen kuin Microsoftin korjauspäivitys on saatavilla, tietoturvaohjelmien pitäminen ajantasalla vähentää merkittävästi tartunnan todennäköisyyttä.

Lisätietoa

• http://support.microsoft.com/kb/2286198
• http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo〈=en&objid=43876783&caller=view
• http://www.symantec.com/connect/blogs/w32stuxnet-network-information
• http://blog.eset.com/2010/07/22/new-malicious-lnks-here-we-go