Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   kritische Sicherheitslücke -> Wurm Ausbruch (https://www.trojaner-board.de/68837-kritische-sicherheitsluecke-wurm-ausbruch.html)

Robsen84 29.01.2009 15:57

In der Schule meiner Freundin ist das Netzwerk befallen.
Angeblich "conficker" ->TR. recycleboot.exe", zumindest so ähnlich.
So meinten die Lehrer dort (also unter vorbehalt)... Ich habe ka. ob das der conficker ist, aber die Verseuchung der Schulrechner ist wohl extrem. Man kann sich vorstellen welche Folgen das hat für die Privatrechner der Schüler, beim sorglosen Umgang mit den USB-sticks....
Ich hab den Zuhause noch gelöscht bekommen...., als meine Freundin nen Stick dabei hatte (für ihren Laptop). Antivir schlug sofort an. gmer etc. findet auch ncihts...
Problem in der Schule ist wohl, dass die das System nicht auf dem neusten Stand haben und es nicht möglich ist Antivirupdates zu machen.

undoreal 29.01.2009 16:07

Zitat:

Privatrechner der Schüler, beim sorglosen Umgang mit den USB-sticks....
Das war meine erste Handlung als ich an die Hochschule gekommen bin: Die Autostarts auf allen meinen Rechner abschalten und auf allen Wechseldatenträgern einen autorun.inf Ordner erstellen. :crazy:
Was da alles als regelrechte Epidemien durchläuft ist echt der Wahnsinn.

MightyMarc 29.01.2009 16:30

Zitat:

Zitat von Robsen84 (Beitrag 409485)
Problem in der Schule ist wohl, dass die das System nicht auf dem neusten Stand haben und es nicht möglich ist Antivirupdates zu machen.

Zumindest bei uns hat sich Avira Small Business Suite als nutzlos erwiesen. Allerdings ist der Patchlevel auch ziemlich niedrig.

Das einzige wobei wir uns bis dato sicher sind ist, dass Conficker nicht über den Server eingefallen ist - zumindest lässt sich im Gegensatz zu den Clients keine Spur einer Infektion finden.

Hätten wir nicht auf zehn Clients eine Spezialanwendung laufen, deren Installation höchst diffzil ist, würde ich dem Admin raten sofort aufzusetzen. Da wir die Anwendung aber bis nächsten Mittwoch unbedingt benötigen und hier im Haus keiner weiß wie sie installiert wird, werden wir wohl noch alles versuchen.

Marc

Robsen84 29.01.2009 16:39

Zitat:

Zitat von Robsen84 (Beitrag 409485)
Angeblich "conficker" ->TR. recycleboot.exe",

Könnte mir denn wer bestätigen, das es sich um eine Form vom Conficker handelt? (Habe leider nicht mehr Information)
Angeblich soll man den recycleboot auf dem Mac löschen können. (Auf den Windows-Rechnern scheint das Ding unsichtbar zu sein.)
Wenn er dann am Windows-Rechner wieder erscheint hat man zumindest die gewissheit das er drauf ist^^.

MightyMarc 29.01.2009 16:59

Zitat:

Zitat von Robsen84 (Beitrag 409492)
Könnte mir denn wer bestätigen, das es sich um eine Form vom Conficker handelt?

Lade die verdächtige Datei bei Virustotal hoch. Im Netzwerk sind die Auswikrungen sehr eindeutig. Die Serverlogs quillen über, weil die infizierten Clients versuchen sich als Admin (und andere User) einzuloggen. Folge sind deaktivierte Profile. Die Shares sind auch nicht mehr erreichbar, Drucker ebenso wenig. Gmer zeigt einen versteckten Dienst (versteckter Registryeintrag und versteckte DLL).


Bei uns trifft gerade ein Silberstreif auf die Netzhaut (ein Dankeschön an myrtille für den Hinweis mit MBAM).
Wir haben jetzt zwei Teile des Puzzles:
1. Ein Diensteintrag einer DLL (system32-Verzeichnis)
2. Eine GIF-Datei im Verzeichnis
Code:

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5
Antivir fand die GIF-Datei nur im aktiven System. Beim Scan einer ausgebauten Platte versagte Antivir (anders hingegen MBAM).

Mal schauen, ob wir nun ein System retten können.

Marc

MightyMarc 29.01.2009 19:32

Kurz zur Info:

MBAM hat die Schaddateien gefunden und - nach bisherigem Kenntnisstand - auch erfolgreich gelöscht, was bedeutet, dass ich morgen pünktlich um 18:30 beim Friseur sein kann, während der Administrator die Reste des Gemetzels beseitigt. :juul:

Noch ein Hinweis:
Ein nicht gepatchter Rechner ist in einem kompromittierten Netzwerk sofort (< 1 min) infiziert.

Marc

myrtille 30.01.2009 00:38

Denkt an die Netzwerkordner und die USB-Dateien (in beiden befinden sich autorun.inf, die die restlichen Rechner infizieren), daher wäre wahrscheinlich auch der Befall bei gepatchten Rechnern früher oder später erfolgt.

Eventuell für die nächste Zeit Autorun (externe medien und vor allem netzwerkordner) deaktivieren... wenn ihr nicht über die Schwachstelle infiziert worden seid, dann war es jemand per USB-Stick... und der Rechner ist sicherlich weiterhin infiziert.
Und dann könnt ihr in einer Woche von vorne anfangen...

lg myrtille

Robsen84 30.01.2009 13:14

Zitat:

Zitat von %ComSpec% (Beitrag 409534)
Noch ein Hinweis:
Ein nicht gepatchter Rechner ist in einem kompromittierten Netzwerk sofort (< 1 min) infiziert.

Man stelle sich das mal vor:
Schule mit 70Pc`s in x<=1min befallen..und ca. 1200 Schülern...

Robsen84 30.01.2009 13:20

Windows-Virus Conficker - Warten auf den Knall - Computer - sueddeutsche.de

MightyMarc 31.01.2009 13:07

Für Administratoren kleiner Unternehmsnetzwerke (hier < 50 XP-Clients):

Ich möchte an dieser Stelle kurz beschreiben wie wir mit conficker umgegangen sind. Dies ist aber nur eine vorübergehende Lösung, da in einem Unternehmensnetzwerk das rumdoktern an einer derart großflächigen Infektion keine endgültige Lösung sein kann.

1.) Clients vom Netzwerk trennen
Wir haben die Clients direkt an den Switches gekappt. Hat den Vorteil, dass man nicht durchs Haus rennen muss. In Haushalten kann man das einfach am Router erledigen. Trennt man die Rechner nicht vom Netz, versuchen die Clients sich auf allen möglichen anderen Rechnern (Clients und Servern) sich mit dem Usern "Administrator" und dem aktuell angemeldeten User anzumelden (mit über 10 Loginversuchen pro Sekunde). Dieses Störfeuer deaktiviert sämtliche Benutzerkonten auf am dem Domänencontroller und die Eventlogs laufen voll, so dass sich ohne Administratoreingriff auch niemand mehr anmelden kann.

2.) Patchen aller Rechner
Per CD (autorun.inf) haben wir allen aktuellen Patches eingespielt (ein Fehler im Updateserver und fehlende Kontrolle durch den Admin hatten zu einem nicht aktuellen Patchstabnd geführt). MBAM wurde gleich mitinstalliert.

3.) MBAM updaten
Die zu aktualisierenden Clients haben wir wieder temporär an Netz genommen und versucht MBAM mit den neuesten Signaturen zu versorgen. Die hat in etwa 30% aller Fälle nicht geklappt. Die ist bedingt durch die URL-Filterung von conficker (die aber nicht immer aktiv zu sein scheint). Es ist nicht ein "umgepolter" DNS-Servereintrag sondern die Filterung findet auf dem Client statt. Die aktualisierten Clients wurden wieder vomNetz genommen.

4.) Scan und Bereinung mit MBAM
MBAM wurde mit der Option "vollständiger Scan" über alle Laufwerke gestartet. Zwei Funde waren typisch:
Eine Bilddatei im Verzeichnis
Code:

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
sowie eine DLL im Verzeichnis
Code:

C:\WINDOWS\system32
Auf frisch infzierten Systemen war häufig nur die DLL vorhanden. Manchmal fanden wir auch zwei Bilddateien (gif oder bmp)im genannten Ordner.
Neustart und nochmaliger Scan.

Bei Rechnern bei denen ein Onlineupdate von MBAM nicht möglich war, mussten wir die Platte ausbauen und in separaten Rechern mit aktuellen MBAM scannen und bereinigen. Das Updatepaket zum manuellen Aktualisieren von MBAM ist nicht aktuell genug gewesen (erst ab Version 1705 ist eine Bereinigung möglich).

5.) Hinweis
Nimmt man die Clients nicht vom Netz und versucht einen Bereinigung kann man Sisyphos einen Gruß ausrichten. Das Patchen vor der bereinigung bewahrt ebenfalls vor unnötigen Mehrfachbereinigungen. Sämtliche USB-Sticks und Festplatten müssen im Anschluss an die Aktion ebenfalls überprüft werden.
In einem Unternehmensnetzwerk sollte die Vorgehensweise nur angewandt werden um kurzfristig den Betrieb sicherzustellen, wenn vorher keine ausreichenden Maßnahmen für so einen Fall getroffen wurden. Wir werden alle betroffenen Rechner nach und nach neuaufsetzen. Weiterhin möchte ich anmerken, das zwei von unserer etwas hektisch agierenden geschäftleitung herbeigerufene externe Dienstleister uns nur Geld und zeit gekostet habe (aber diese Erfahrung haben wir nicht das erste Mal gemacht).


Marc

cad 31.01.2009 13:16

Zitat:

Zitat von %ComSpec% (Beitrag 409779)

(ein Fehler im Updateserver und fehlende Kontrolle durch den Admin hatten zu einem nicht aktuellen Patchstabnd geführt)

Zitat:

Zitat von %ComSpec% (Beitrag 409779)
In einem Unternehmensnetzwerk sollte die Vorgehensweise nur angewandt werden um kurzfristig den Betrieb sicherzustellen, wenn vorher keine ausreichenden Maßnahmen für so einen Fall getroffen wurden.


Gibt es diesen Admin noch? :D

myrtille 31.01.2009 13:34

Wenn ihr Malwarebytes auf all euren Dienstrechnern laufen lasst, würden sich die Programmierer sicher freuen, falls ihr mal über die Corparate Version nachdenkt. ;)

lg myrtille

MightyMarc 31.01.2009 13:34

Zitat:

Zitat von cad (Beitrag 409782)
Gibt es diesen Admin noch? :D

Noch gibt es ihn. Die Schuldzuweisung ist aber nicht so einfach wie sie erscheint. Er weist seit fast einem Jahr auf bestimte Unzulänglichkeiten hin, wird aber immer mit unnötigen Kein-Klein-Geschichten so auf Trab gehalten, dass er kaumu kommt, seiner eigentlichen Ttigkeit - der Administration - nachzukommen. Ich sehe hier den Fehler sowohl bei der GL als auch beim Administrator. Er hat sich nicht mit entsprechendem Nachdruck auf die Hinterbeine gestellt und die GL hat ihn gerne für total belanglosen Krimskrams verheizt.

Marc

PS: Schon wieder den Beitrag editiert :rolleyes:

@myrtille:
Wir haben MBAM nur temporär genutzt. Es ist eine schwierige Geschichte, denn man kann nicht jedes Mal wenn der "Hausscanner" versagt, die Lizenzen in die Tonne treten und zu einem anderen wechseln. Avira hat hier komplett versagt, aber wir wissen ja, dass dies jedem Scanner passieren kann. Ich tendiere eher dazu, das Netzwerk zu vernageln anstatt je nach Infektion oder Gefahrenlage den Scanner zu wechseln. Im Herbst laufen unsere Aviralizenzen aus und bis dahin wird das Thema sicherlich diskutiert werden, aber jetzt hops auf MBAM zu wechseln ist nicht zu vertreten (dem Chef auf die Finger zu hauen würde mehr Sicherheit ins Netzwerk bringen).

luxxiz 31.01.2009 13:37

Danke für die Info.

cad 31.01.2009 13:41

Zitat:

Zitat von %ComSpec% (Beitrag 409791)
Er weist seit fast einem Jahr auf bestimte Unzulänglichkeiten hin, wird aber immer mit unnötigen Kein-Klein-Geschichten so auf Trab gehalten, dass er kaumu kommt, seiner eigentlichen Ttigkeit - der Administration - nachzukommen.

Kleiner Tipp am Rande, immer schriftlich darauf hinweisen und von der GL bestätigen lassen :D

Zitat:

Zitat von %ComSpec% (Beitrag 409791)
PS: Schon wieder den Beitrag editiert :rolleyes:

Solange Du nicht anfängst Beiträge zu löschen, ist es doch kein Problem :lach:


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131