Робота однієї з німецьких АЕС була припинена після того, як в паливній системі станції був виявлений комп'ютерний вірус.
Новина в такому викладі змусила поперхнутися чаєм і зайнятися пошуками першоджерела. Що ж сталося насправді?
Згідно Рейтерс і аналогічних новин у складі інформаційної мережі АЕС Gundremmingen, розташованої на півдні Німеччини (приблизно в 120 км на північний захід від Мюнхена), були виявлені шкідливі програми - незважаючи на те, що локальна мережа була ізольована від мережі Інтернет.
АЕС Gundremmingen у Німеччині
Шкідливі програми «W32.Ramnit» і «Conficker» були знайдені в комп'ютерній системі енергоблоку B, пов'язаної з програмним забезпеченням візуалізації даних з переміщення прутів (мабуть малися на увазі тепловиділяючі збірки) ядерного палива. Крім того шкідливе ПЗ було знайдено на 8 знімних дисках, в основному USB-накопичувачах, в офісних комп'ютерах, які не підключені до управління станцією.
Як W32.Ramnit, так і Conficker (він же Win32.HLLW.Shadow.based, Downup, Downadup і Kido) - шкідливі програми, розроблені для ОС Windows. Conficker - легендарний комп'ютерний хробак, епідемія якого почалася 21 листопада 2008 року (якраз тоді, коли востаннє проводилася модернізація системи, в якій він був виявлений). Внаслідок епідемії було заражено близько 12 мільйонів комп'ютерів. Детальний опис хробака Win32.HLLW.Shadow.based доступний тут.
Ramnit - файловий вірус, призначений для крадіжки коштів, пошуку файлів у системі, віддаленого управління над атакованим комп'ютером. Має механізмам саморозповсюдження (як і всякий вірус), а також містить руткіт. Був виявлений у 2010 році. Порушує роботу захищеного режиму роботи Windows шляхом видалення розділів реєстру, які відповідають за його реалізацію. Можливо саме тому цей вірус був виявлений в парі до Conficker - для його видалення може знадобитися перейти в даний режим
Відзначимо, що епідемія Conficker'a стала можливою в результаті того, що значна частина користувачів не встановлювала критичне оновлення MS08-067. Як правило причиною зараження служить те, що на машині або відсутній пароль для облікового запису адміністратора, або заданий занадто простий не стійкий до перебору.
Оскільки даний хробак зустрічається досі - не так і давно в техпідтримці розбиралися з відповідним випадком, то нагадуємо
- Оновлюйте антивірус і не забувайте перевіряти, що ваша ліцензія - чинна! Як не дивно, але постійно зустрічаються системи з системами безпеки, що не оновлювалися роками
- Використовуйте складні паролі. Не смішно, частий випадок у техпідтримці
- Вимкніть Автозапуск зі змінних носіїв - якщо вже не ставите оновлення бо станом на даний момент автозапуск повинен бути відключений у всіх. Детальну інформацію щодо відключення автозапуску та посилання на оновлення KB967715, необхідне для коректного відключення цієї функції в старих версіях Windows, є на сайті Microsoft: support.microsoft.com/?kbid=967715. Інструкція з блокування підключення до комп'ютера USB-носіїв знаходиться за адресою support.microsoft.com/kb/823732
- Встановіть оновлення! Їх випускають не дарма. Для ОС Windows обов'язково повинен бути встановлений патч MS08-067 (www.microsoft.com/technet/security/bulletin/ms08-067.mspx). Додатково рекомендується встановити патчі на вразливості, описані в бюлетенях MS08-068 (www.microsoft.com/technet/security/bulletin/ms08-068.mspx) і MS09-001 (www.microsoft.com/technet/security/bulletin/ms09-001.mspx)
- Періодично скануйте систему в пошуках раніше невідомих шкідливих програм. Повірка на руткіти здійснюється зазвичай автоматично
Приношу вибачення за настільки капітанські поради - я вирізав їх з вже згадуваного запиту на підтримку. «Вже скільки разів твердили світу» - але постійно одне і теж...
І та не доведеться вам звертатися до техпідтримки за лікуванням подібних програм!