Ett vanligt scenario är att många sajter har öppen fildelning till vilka alla användare har obegränsad access. Avsikten är att tillhandahålla en gemensam plats där alla användare kan dela filer och information. Ett annat scenario omfattar ytor som inte är avsedda för allmänt bruk men där man på grund av bristande säkerhetsarbete och planering har missat att skydda dem.
Anledningen spelar egentligen ingen roll - dessa fildelningsplatser är extremt utsatta för virus som Pinfi och Funlove, vilka har just öppna fildelningsprogram som mål för smitta.

Ett fildelnings scenario för smitta

Figuren ovan illustrerar en oskyddad arbetsstation (IP: 192.168.0.13) som tillåts köra en fil som innehåller Pinfi-viruset. Den smittade arbetsstationen kommer sprida öppna fildelningsfiler till datorer i nätverket, söka efter filer med .exe och .scr-tillägg till dessa och sedan försöka infektera filerna.

Alla servrar i exemplet skyddas med uppdaterade versioner av anitvirusprogramvaror, vilka övervakar filsystemen på servrarna. Alla försök att infektera filer på kommer upptäckas och infekterade filer rensas bort.
Problemet är dock att arbetsstationen fortfarande bär på smitta och kommer återinfektera .exe och .scr-filerna så snart antivirusprogrammet utfört sin första rensning. Man hamnar i en infektionsrengörings cykel som fortsätter i all evighet om inte något görs åt den ursprungliga infektionen: dvs på den infekterade arbetsstationen.

Att hitta källan till problemet

I stora nätverk med hundratals, kanske tusentals, datorer kan det vara mycket svårt att hitta just denna arbetsstation. Virusvarningsmeddelandet pekar vanligtvis bara ut den drabbade filen, vilket virus som hittats och vad som gjorts med filen. Man behöver alltså mer information för att lösa problemet.

Ett sätt att göra det är att använda ett externt verktyg för att övervaka filer som löper risk att infekteras. För att undvika alltför många ändringar i någon av originalservrarna kan det vara en bra idé att sätta upp en ny test maskin i nätverket, skapa en öppen fildelning på maskinen, och lägga in en kopia av .exe-filen här. När det gäller Pinfi vet man att .exe-filer är attraktiva mål för smitta. Vi kopierar filen calc.exe från Windows directory till den nya sharefilen. Calc.exe filen fungerar nu som "bete" för smittspridaren.

Innan maskinen med betet ansluts till nätverket, måste ett avsökningsprogram installeras. Vi anser att Wireshark är ett bra program. Även program som Sniffer Pro och Etherpeek fungerar bra. Wireshark kan dock laddas ner gratis och innehåller många bra funktioner.

Här redogör vi endast för de funktioner som är relevanta för att lösa det uppmålade scenariot.

Att installera Wireshark

Du behöver två komponenter:

1. Installera och kör WinPCap drivern som kan laddas ner från winpcap.polito.it 
2. Installera och kör Wireshark - kan laddas ner från http://www.wireshark.org/

Observera: Även om vår erfarenhet av Wireshark är bra har vi ingen support av den. Du använder programmet på egen risk.

When Wireshark is installed, make sure that the NVC’s On-access scanner is running on the machine, and start the NVC Utilities program where you open the Messages window.

Before you start monitoring the file, make sure that it gets infected by watching the virus alerts in the Messages window. If no virus alerts appear, then the bait does not work. Check again to make sure that the directory containing the bait really is shared, and that all users have full access to the share.

Övervakning av aktiviteten i nätverket

När Wireshark installerats måste du se till att On-access skanningen i NVC är igång på maskinen. Starta NVC Utilities-programmet. Öppna meddelande-fönstret. Innan du börjar övervaka filen, bör du se till att den är infekterad genom att läsa virusvarningarna i meddelandefönstret. Om inga virusvarningar dyker upp fungerar inte betet. Försäkra dig om att den katalog betet ligger i verkligen är utdelad, och att alla användare har full tillgång. 

Watching Pinfi infect the bait on the test share

Om det fortfarande inte fungerar, kan du behöva installera Wireshark på den av servrarna där smittan dök upp från första början. Vissa fildelningsinfektioner infekterar bara de delade filer som var tillgängliga vid starten av det infekterade programmet. Om så är fallet, sök rätt på en fil där och använd den som bete för smittan. Starta sedan Wireshark . Vi ska fånga aktiviteten som maskinen tar emot via nätverket. Men bara fokusera på den aktivitet som är relaterad till betet, vilket är calc.exe filen.

Wireshark i arbete

I det nedre vänstra hörnet finns ett fält som heter Filter: Skriv in strängen: smb.file contains "calc.exe".
Välj kommandot Capture/Start och klicka sen på OK. Nu får du upp capture-förnstret. Titta på aktiviteten i NVC utilities meddelandefönstret. Så snart det är en ny smitta på betet, stäng Wireshark capture-fönstret. Loggen över fångsten dyker upp i huvudfönstret. Se till att filtret är aktivt genom att klicka på Apply.

Genom att titta på "Source" och "Destination"-kolumnerna ska du nu kunna se IP-adresserna som använts vid manipulationen av calc.exe filen. I det här fallet är den lokala adressen för vår maskin 192.168.0.15. Den andra IP-adressen som är inblandad i överföringarna är 192.168.0.13. Alltså är en maskin med adressen 192.168.0.13 smittspridaren.

Du kan nu lösa problemet genom att isolera den och göra en fullständig skanning "On-demand" tillsammans med den relevanta fixen/fixarna. Upprepa processen för att försäkra dig om att det inte finns några andra smittkällor i nätverket.