Bräuchte hilfe beim Confic*er in einem Firmen Netz
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
dank
datei
erfahrung
formatieren
frage
http
info
jemand
mythos
netzwerk
problem
programm
rechner
server
tool
update
virus
windows
wochenende
wurm
-
Hallo,
ich bin neu hier, wollte aber gleich mit einer Frage kommen die bei mir auf der Arbeit grade Aktuell ist:
Zunächst Infos dazu, über das Firmen Netzwerk:
28 Rechner, 2 Server (AD, Excange, SQL, usw.)
Es werden im netzwerk immer wieder USB Sticks benutzt, sowie Digital Kamera´s mit Speicherkarten
Auf einem Der Server läuft eine Business lösung von G Data Antivirus
Das Problem ist wie im Titel schon angegeben der Wurm Confic*er (ich hab mal das Sternchen eingefügt, damit das ganze nicht fälschlicherweise für etwas anzügliches gehalten wird.) der sich wild in unserem Firmennetzwerk tummelt.
G Data läuft auf allen Rechnern und findet auch immer wieder "Autorun.inf" auf allen möglichen Rechnern - den eigentlichen Wurm aber wohl nicht.
Das Größte Problem bei der Sache sind die USB Datenträger die wie kleine Viren Schiffchen fröhlich an alle rechner angesteckt werden, und so alles immer schön wieder ausbreiten...
Ein Tool von Symantec hilft wohl auch gegen diesen Wurm, aber es ist mir nicht möglich alles gleichzeitig zu Scannen, so das ich wenn ich beim einen Fertig bin, und zum nächsten geh, der erste schon wieder infiziert wird...
Meine erste Frage Lautet: Hat jemand erfahrung mit diesem Wurm in einem Firmennetzwerk gemacht, und wenn ja mit welchem "Schlachtplan" wurde dieser entfernt? Mit schlachtplan meine ich die Planung wie man bei soetwas am besten vorgeht (man muss ja bedenken das man nicht mal eben das Firmennetzwerk für 2 tage lahm legen kann)
Die zweite Frage ist: Welche Tools sollte man benutzen, bzw wie bekomme ich raus um welchen Typus des Wurms es sich handelt, um dann dagegen ein removal Tool zu finden?
und Schließlich als dritte Frage: Wie kann ich verhindern das diese Art von Infektion wieder auftaucht (Konkrete Beispiele wenn ihr habt, nicht nur: Kauf nen besseren Scanner) ?
Ich weiß die Fragen sind nicht ganz einfach, aber ich hoffe es kann mir jemand von euch Helfen,
Vielen dank schonmal von mir und meiner Cheffin,
mythen-schmiede -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Ihr nutzt welches Windows? Xp wa.
Dann würd ich zuerst mal auf sämmtlichen Rechnern den Autostart systemweit deaktivieren.
Damit wäre schonmal eine Neuinfektion durch externe Medien, entschärft.
Updates sind auch alle drauf und Programme auf aktuellem Stand?
Wie man den "löscht" gibts ja genug Infos im Internet- auch wenn ich formatieren würde. Das Sicherheitskonzept eurer Admins hat versagt. -
Betriebsystem ist Windows XP, ja...
Updates wurden heute alle installiert - dh. ein bestimmtes Windows Update wurde deinstalliert und aus sicherer Quelle wieder installiert.
Das mit dem Autostart ist ein guter Tipp, kann man dann den entsprechenden USB Stick trotzdem noch nutzen, also quasi ganz normal öffnen ohne das der Virus (wenn einer drauf ist) auf das System übergreift?
Danke für deine Hilfe, aber wie stellst du es dir vor ein Firmen Netzwerk zu Formatieren? Ich kann meiner Cheffin schlecht sagen, sie soll nochmal von Vorn anfangen =)
Meine drei Fragen stehen nochimmer im Raum, aber ich danke dir schonmal für den Tipp mit dem Autostart tid-gaming
mfg
Mythen-Schmiede -
Updates wurden heute alle installiert
..Welche diesen Monat rausgekommen sind? Schon fast eine Woche später.
Ja, USB Medien lassen sich auch weiterhin nutzen. Glaub Microsoft hatte auch unter Xp dafür ein Patch bereit gestellt, dass Autoplay bei externen Medien, deaktiviert wird. Eben aus dem Sicherheitsgrund.
Nunja es ist natürlich eure Entscheidung wieviel Wert ihr auf eure PCs legt, die eigentlich virenfrei seien sollten. Das mit dem Formatieren ist dabei die sicherste Variante und könnte von fähigeren Admins, als eure jetzigen, an einem Wochenende vollzogen werden.
Wichtige Dateien kann man ja zB mit einer Linux Live Cd sichern und dann auf Malware prüfen. -
Du solltest alle Rechner vom Netz nehmen und bereinigen. Dass du die Rechner nicht einfach so still legen kannst ist klar, aber mach das halt an einem Wochenende. Zusätzlich: wie verbreitet sich der Virus? wieso verwendet ihr USB-Sticks statt Netzlaufwerke? Wie verteilt sich der Virus übers Netz? Wie lässt sich das verhindern? Welche Business-Antivierenlösung erkennt und beseitigt ihn automatisch, evtl auf diese umsteigen? Haben die User Adminrechte, so dass sich der Virus evtl. nur deshalb verbreitet?
-
Bei der Entscheidung die Zeit und die Mittel für eine vernünftige Beseitigung zur Verfügung zu stellen hilft es sicherlich den entsprechenden Entscheidern klar zu machen das natürlich auch Daten die mit Lieferanten und Kunden ausgetauscht werden potentiell infiziert sein können.
Man möchte sicher nicht daraus ev. resultierende Schadensersatzforderungen in Kauf nehmen insofern muss man einfach fachlich stimmig argumentieren, dann klappts auch mit der Chefin. -
Ich hatte vor einiger Zeit auch schonmal ein Problem mit diesem Wurm. Ich hab ihn mir damals per USB-Stick aus der Schule mitgebracht. Meinen Laptop habe ich daraufhin formatiert und danach, um mir auf diesem Weg nicht nochmal was einzufangen, zum einen, wie oben erwähnt, autorun deaktiviert. Wie genau ich das gemacht habe, weiß ich leider nichtmehr. Zum anderen habe ich all meine USB-Sticks mit "Flash Disinfector" für die Zukunft abgesichert. Das Programm erzeugt auf allen angeschlossenen Partitionen einen autorun.inf genannten Ordner, der sich nicht wie üblich löschen oder überschreiben lässt mit einer ebenso nicht auf normalem Weg löschbaren Datei. Wenn du den Ordner wieder loshaben willst, gibt es dafür natürlich auch wieder eine Möglichkeit, unter anderem in Form eines entsprechenden Programms zum downloaden, aber die meißten Viren kümmern sich (bis jetzt) wohl noch nicht drum, dass sie die Datei erst recht umständlich entfernen müssen.
In der Schule (besser gesagt Internat) habe ich dann auf dem ein oder anderen Rechner, wo ich öfters dran war das genannte Symantec-Tool drüber laufen lassen. Das hat anscheinend auch recht gut funktioniert, persönlich habe ich aber wiegesagt die Formatierung bevorzugt. Wie du aber gesagt hast, wird der PC im Netzwerk, nachdem du ihn gesäubert hast gleich wieder infiziert werden.
Möglicherweise reicht es aus, wenn du den PC vom Netzwerk trennst, per Symantec-tool säuberst, mit Hilfe eines sauberen USB-Sticks den aktuellsten Updatesstand herstellst und autorun deaktivierst. Wenn dann kein Mitarbeiter den Virus manuell startet, sollte er auch beim wiederverbinden mit dem Netzwerk nicht wieder auftreten. (Es besteht die Gefahr, dass sich der Wurm in andere ausführbare Dateien (z.B. Word) eingenistet hat und darüber mitgestartet wird. Bei mir war das damals nicht der Fall, aber in den ca. drei Jahren, wo das jetzt her ist, kann sich das auch geändert haben, wenn der weiterentwickelt wurde. In diesem Fall funktioniert auch diese "Taktik" nicht, ebenso dann nicht, wenn er sich mittlererweile über andere manipulierte Daten weiterverbreitet)
Zudem müssten dann noch irgendwann (vermutlich am Wochenende ;) ) die Server vom Netzwerk getrennt und ebenfalls gesäubert werden. Damit habe ich keine Erfahrungen. Insbesondere steht auf der Seite des Symantectools noch ein Hinweis bzgl. Exchangeservern:
Note for network administrators: If you are running MS Exchange 2000 Server, we recommend that you exclude the M drive from the scan by running the tool from a command line, with the Exclude switch. For more information, read the Microsoft knowledge base article: XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Article 298924).
Inwieweit das dann noch zu einer sauberen Lösung führt, weiß ich nicht. Ich muss mich meinen Vorrednern anschließen: Formatieren ist die sicherste Lösung.
Der Link zum genannten Symantectool (soweit ichs richtig in Erinnerung hab):
http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
Nachtrag:
Ich habe grade noch einmal ein wenig darüber nachgelesen und zwei Dinge gefunden:
1.It has the ability to update itself or receive additional files for execution.
(http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99)
2.Am 7. April 2009 bemerkte das Sicherheitsunternehmen Trend Micro eine erhöhte P2P-Aktivität von Conficker.C, womit der Wurm sich selbst in die Conficker.E-Variante wandelt.
(http://de.wikipedia.org/wiki/Conficker)
Aufgrund dessen ist es fraglich, ob das von mir vorgeschlagene Tool überhaupt sinnvoll anzuwenden ist, denn laut Symantec soll es die drei Varianten "W32.Downadup, W32.Downadup.B, W32.Downadup.C" entfernen. Zudem ist das Tool relativ alt und es ist aufgrund obiger Sachlage zu befürchten dass der Wurm mittlererweile entsprechend geupdated ist.
edit: danke @fatfox, ich hatte eigentlich autorun gemeint, nicht autostart, das hab ich schnell geändert...
Beitrag zuletzt geändert: 19.3.2012 20:40:35 von nomis -
Naja, es ist ja eine der Fragen gewesen wie ich herausfinde was für eine Variante es ist.
Wenn man davon ausgeht das es W32.Downadup.C ist, müsste das removal tool ja funktionieren... Wenn ich den Text aber richtig verstanden habe, ist es so das sich jeder Downadup.C nach einem Update zu einem W32.Downadup.E entwickelt?
Gibt es denn für diese E Varienate schon eine Art Removal?
/edit: habe selber nochmal wieder geforscht und wie es scheint sind die Varianten C und E durch die Verbreitung über p2p zu unterscheiden...
Ein Anderes Removal tool habe ich allerdings nicht gefunden... =(
Wenn jemand infos darüber hat wäre ich ihm sehr verbunden....
Ansonsten danke schonmal für die vorhandenen infos... Ich werd die Erfahrungen die wir gemacht haben hier posten, sobald wir ein paar schritte weiter sind...
mfg
Mythen-Schmiede -
Hier noch ein Programm für Autostart blockieren unter XP:
# http://www.heise.de/download/kafu.exe-1130682.html
Aber auf jeden Fall solltet ihr Autorun blocken, insofern das nicht durch Windows Updates geregelt wurde. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage