Varsel om virusaktivitet

Lysglimt får med jevne mellomrom henvendelsar frå ein nasjonal sikkerhetsautoritet vedrørande virusinfiserte maskiner i vårt nettverk.

Desse henvendelsane gjeld aktivitet frå virusprogram som ansjåast for å utgjere ein risiko for brukarane av maskina/maskinane som er infisert. I tillegg belastar denne type trafikk vårt nett unødig og det er ein risiko for at våre IP-adresser endar opp med å bli svartelista ute på diverse tenester på nettet.

Lysglimt varslar derfor dei kundane som har IP-adressa som blir observert av denne sikkerhetsautoriteten slik at kunden får ein muligheit til å sette i gang tiltak på eigne maskiner. Dersom vi mottar fleire observasjonar frå denne autoriteten etter at vi har varsla kundane blir linja satt ned til 400 kbs/400 kbs til kunden har ordna opp. I ytterste konsekvens blir linja stengt heilt ned til Lysglimt får informasjon frå kunden om kva som er gjort for å stoppe aktiviteta.

Norsk senter for informasjonsikkerhet - NorSIS har flotte sider med masse info.

Vidare anbefalast det å bruke litt tid og lese gjennom dei ulike linkane på denne sida: https://nettvett.no/veiledninger/

Dei kategoriane virus som det rapporterast om er som fylgjer: (informasjonen er gjengitt med tillatelse frå utgiver)

BOT
Denne kategorien inneheld adresser som er blitt sett tilkobla eit kommando- og kontrollsenter. Troverdigheita på klientane i denne kategorien er avhengig av innhentingsmetode som kan variera noko basert på kilde.

C&C
Kategorien inneheld kommando- og kontrollsentre som styrer infiserte klientar med ondsinna programvare.

FASTFLUX
Denne kategorien inneheld maskiner som er observert som deltagare i eit fast-flux-nettverk. Fast flux er ein teknikk der domeneoppslag kontinuerlig resulterar i nye IP-adresser, typisk på grunn av lav TTL og/eller round robin DNS. Denne teknikken blir ofte brukt av domenar som serverar malware.

MALWARE
Denne kategorien er observert ondsinna kode på ei gitt webadresse.

MALWARE URL
Denne kategorien inneheld adresser som serverar, eller redigerar besøkande til ondsinna kode. Desse URL'ane peiker ofte til websider der det blir injisert obfuskert JavaScript eller iframes.

PHISING
Denne kategorien inneheld adresser

SINKHOLDED
Denne kategorien har høg troverdigheit, då det dreiar seg om klientmaskiner som har kontakta domener som tidligare har blitt brukt som kommand- og kontroll for botnet. Desse domena har blitt proaktivt registrert av sikkerhetsmiljøet, eller på anna vis tatt over for logging og rapportering.