Kan de gemeente aansprakelijk worden gesteld voor evt geleden schade door onvoldoende beschermings maatregelen.

Leef niet in die gemeente maar vraag het me af

Hoeveel vingerafdrukken zijn er gestolen ........

"Volgens de gemeente is het niet uitgesloten dat bestanden die personen en organisaties sinds dinsdagochtend 7 augustus via de gemeente Weert hebben ontvangen, ook geïnfecteerd zijn. "

Vertellen om welke malware het gaat is natuurlijk teveel gevraagd ?

geen enkele want die worden door een gescheiden netwerk opgeslagen en daar zal geen virus opstaan.....

Bij een nieuw virus duurt het vaak even voor het duidelijk is. Maar http://www.damnthoseproblems.com/?p=599

Peter

http://www.damnthoseproblems.com/?p=599

Graag zou ik willen weten over welk Trojaans Paard we het hier hebben. Dat voorkomt andere besmettingen door extra alert te zijn bij andere gemeenten, instellingen, bedrijven, etc.

Zeker McAfee...

http://www.damnthoseproblems.com/?p=599 voor meer informatie

Dan valt de besmetting wel mee...

Woordvoerder van de gemeente:

"Wel adviseren we mensen die sinds maandagochtend via de e-mail bestanden van ons hebben ontvangen deze goed te scannen of te verwijderen. We kunnen namelijk niet uitsluiten dat ook die bestanden geïnfecteerd zijn."

En vervolgens komt het:

De ICT-medewerkers van de gemeente onderzoeken nu welk virus het precies is en hoe het bestreden kan worden.


Kennelijk zijn de scanners van de burger die zijn computer up to date houdt WEL in staat de malware te herkennen en te bestrijden, de ICT-medewerkers van de gemeente volgens dit bericht niet :-)

Schijnt een nieuwe 0day variant van sasfis te zijn zegt men hier en daar:
http://tweakers.net/nieuws/83626/trojan-legt-gemeentelijk-netwerk-van-weert-plat.html
http://www.nu.nl/internet/2879321/gemeente-weert-plat-computervirus.html

Info over sasfis:
http://www.symantec.com/security_response/writeup.jsp?docid=2010-020210-5440-99

classificering als low risk voor besmetting snap ik, maar algeheel (openen van backdoor voor uitvoering executables en bot for hire) vind ik toch wel iets zwaarder wegen dan dat.

Met het risico dat een anoniem het na 17:34 al gemeld en die bijdrage door moderatie nog niet getoond is op het moment dat ik dit schrijf: in http://tweakers.net/nieuws/83626/trojan-legt-gemeentelijk-netwerk-van-weert-plat.html wordt gemeld dat het om "Sasfis" zou gaan (andere namen voor "Sasfis" zijn "Oficla", "Bredavi" en "Koobface"). Tweakers haalt een oude variant aan die via Word bestanden verspreid. Reacties daaronder wijzen echter op een fake screensaver (.scr bestand).

Meldingen over Sasfis gaan terug tot 2007. Er zijn veel verschillende varianten. Bijv. http://www.net-security.org/malware_news.php?id=1357 beschrijft een variant die er door een unicode karakter in de bestandsnaam ervoor zorgt dat de volgorde van letters daarachter wordt omgekeerd. Zo wordt het einde getoond .rcs.xls terwijl dit in werkelijkheid .slx.scr is (dus een uitvoerbaar bestand). Het lijkt erop dat ze nu diezelfde truc weer uithalen, zie http://r.virscan.org/32516a84110a5c1ba747d5d23d833e13 en http://r.virscan.org/6db0980a0f7cd5fca409638948972623 (in beide gevallen detecteert slechts 1 van de 36 scanners iets).

Grappig: als je in laatstgenoemde webpage probeert de filename van links naar rechts te selecteren (met je muis) dan zie je dat dit ineens de verkeerde kant op gaat vanaf de laatste F (ik heb geprobeerd dat hier te kopiëren, in het preview window werkt het nog, maar in de uiteindelijke pagina vervangt security.nl het unicode teken door een vraagteken).

Een gebruiker die zo'n bijlage ontvangt ziet .doc (als die extensie getoond wordt) terwijl de feitelijke extensie .scr is.

Gezien de naam van 1 van de uploads: "20120808-SCR-infectie.ZOOI" in https://www.virustotal.com/file/4db33e065a74ca240850f451f73b14cf52e72ba487f7f367f29889b0a6ecb32b/analysis/ zou deze melding van vanavond om een Sasfis variant kunnen gaan (de 16 van de 42 scanners die iets detecteren roepen vooral generieke kreten, meestal wordt dit wel bijgesteld in enkele dagen).

Focussen op 1 malware variant heeft niet zoveel zin (tenzij je snel een middel vindt om het unicode karakter [U+202e] uit bestandsnamen te filteren).

In het algemeen voorkom je veel leed door je systemen gepatched te houden, gebruikers niet onnodig veel rechten te geven ze op te voeden.

Aanvulling 01:21 - In de tweakers thread (http://tweakers.net/nieuws/83626/trojan-legt-gemeentelijk-netwerk-van-weert-plat.html) en in http://www.damnthoseproblems.com/?p=599 staan goede tips.

O.a. voorkomen dat gebruikers .scr files kunnen starten door in het register, in de key HKEY_CLASSES_ROOT\.scr\, de waarde Default (type REG_SZ) te wijzigen van scrfile in een lege karakterreeks.
BELANGRIJK: vanaf Vista moet je dat beslist met admin rechten doen, anders wordt dit mogelijk alleen voor jouw eigen account zo ingesteld! Ook bij XP heb je admin rechten nodig hiervoor, maar als je die niet hebt en je probeert dit te wijzigen, krijg je zeker een foutmelding.

Ook de gemeenten Den Bosch en Borsele melden te zijn besmet met een trojan:

http://www.s-hertogenbosch.nl/nc/nieuws/bericht/computerstoring-gemeente-s-hertogenbosch/

http://www.borsele.nl/index.php?mediumid=1&pagid=119&stukid=17035&#titel17035

Hahaha, daar hebben we meer voorbeelden van gehad... Digikneutar anyone? Had ook een 'gescheiden' netwerk wat in de praktijk niet zo heel erg gescheiden bleek te zijn.

Venlo ook de klos
Wie volgt?
https://secure.security.nl/artikel/42586/1/Den_Bosch%2C_Venlo_en_Borsele_getroffen_door_virus.html

Veldhoven neemt voorzorgsmaatregelen:

De gemeente Veldhoven neemt maatregel uit voorzorg. De gemeente Veldhoven wil een mogelijke besmetting van het netwerk voorkomen. Daarom is extern e-mailverkeer (in- en uitgaand) op donderdag 9 augustus in ieder geval tot 13.00 uur niet mogelijk.

http://www.ed.nl/regio/veldhoven/11505212/Veldhoven-even-niet-bereikbaar-via-e-mail.ece