Alveran 10 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 Hallo, zur aufklärung. Es sind zwei verschiedene Systeme von ein und dem selben Virus betroffen. Und mittlerweile so wie gehört habe hat es noch andere erwischt. Und nochmal zum Thema Sicherheit. Wir verwenden WSUS. Unsere Systeme sind nachweißlich auf neuestem Stand und der GDATA Virenscanner holt sich stündlich seine Updates. Es handelt sich bei dem Virus um eine neue Version die von allen Antivieren Scanner auser F-Secure nicht erkannt wird und auch selbst mit dem F-Secure Scanner nicht gelöscht werden kann. (seit 6.Januar2009bekannt) Ich hoffe ich habe mich verständlich ausgedrückt. Trotzdem Besten Dank an euch für die Angboten links. Der Patch für XP den du mir gelinkt hast war bei uns schon eigespielt. Daran lags also nicht. Gibts da noch andere Patches. Was ist mit den Vista maschienen? Dafür gibts nix soweit ich sehen kann. mfg Alveran Zitieren Link zu diesem Kommentar
Gulp 255 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 Hallo,zur aufklärung. Es sind zwei verschiedene Systeme von ein und dem selben Virus betroffen. Und mittlerweile so wie gehört habe hat es noch andere erwischt. Und nochmal zum Thema Sicherheit. Wir verwenden WSUS. Unsere Systeme sind nachweißlich auf neuestem Stand und der GDATA Virenscanner holt sich stündlich seine Updates. Es handelt sich bei dem Virus um eine neue Version die von allen Antivieren Scanner auser F-Secure nicht erkannt wird und auch selbst mit dem F-Secure Scanner nicht gelöscht werden kann. (seit 6.Januar2009bekannt) Ich hoffe ich habe mich verständlich ausgedrückt. Trotzdem Besten Dank an euch für die Angboten links. Der Patch für XP den du mir gelinkt hast war bei uns schon eigespielt. Daran lags also nicht. Gibts da noch andere Patches. Was ist mit den Vista maschienen? Dafür gibts nix soweit ich sehen kann. mfg Alveran Ist Lesen wirklich Glückssache? Oder die Tabelle mit den Links zu den einzelnen Systemen aus Microsoft Security Bulletin MS08-067 – Critical irgendwie unverständlich, ich finde da nun ganz deutlich einen Downloadlink für Vista und Vista SP1. :suspect: Hätte man sich mal mit dem Virus und seinen Varianten (zB B) vertraut gemacht so wäre einem aufgefallen, dass: .... It also attempts to spread to network shares protected by weak passwords and blocks access to security-related Web sites. ...... Quelle (vom 31.12.2008 im übrigen): MS08-067 : W32.Downadup.B oder It can use several different methods to spread, including using the recently patched vulnerability in Windows Server Service, guessing network passwords and infecting USB sticks. As an end result, once the malware gains access to the inside of a corporate network, it can be unusually hard to eradicate fully. Quelle: Corporate networks warned over outbreak of Downadup worm Genau dies beschrieb ich schon in Post 32 Zudem kann der Wurm auch von gepachten Workstations mit Internetkontakt auf die Server per RPC gelangt sein, er hat unter anderem eine BrutForce Passwordliste an Bord um sich über die Administrativen Freigaben zu verbreiten. Im Klartext, der Wurm kann sich nicht nur über ungepatchte, sondern zB bei Verwendung von unsicheren oder einfach erratbaren Passwörtern über ganz normale Netzwerkfreigaben oder die Administrativen Freigaben verbreiten, auch bei System die den Patch bereits installiert haben. Sprich, hier gilt es eine sicheres Gesamtpaket unter anderem aus 1) Patchstand der Systeme, 2) aktueller Virenscanner, 3) gesicherter Internetzugang und 4) gesicherten Datenträgern (zB USB Drives) wohlgemerkt gleichzeitig implementiert zu haben. Sorry, aber alles andere ist die bereits angesprochene Betriebsblindheit und kalter Kaffee. Mal ganz provokant formuliert (und damit will ich Dir keinesfalls ans Bein treten, mir wäre lieber wir würden das hier nur theoretisch diskutieren), warum hat es denn mein Netz nicht erwischt? Glück? Oder vielleicht doch eher ein adäquates Sicherheitskonzept? Grüsse Gulp Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 warum muss es immer in solche herzblut diskussionen ausarten. WSUS verteilt updates und die rechner sind auf neuestem stand, das täuscht auch der virus dem WSUS vor, das ist kein argument. traffic auf sicherheitsseiten wird geblockt (zum glück nit umgeleitet und gefaked). ob sch der virenscanner bestätigt aktualisiert hat sagt der post nicht. der Virus in der gegebenen Form macht nur Sinn als Türöffner für Botnetze, d.h. sobald er sich beim Virenproduzenten meldet geht die arbeit erst los, es werden weitere komponenten nachgeladen. für eine ncht zu bestimmende zeitspanne war der virus im system aktiv. ob und was er nachgeladen hat könnte z.b. der proxy oder die firewall wissen. Die Komponenten die nachgeladen wurden (wenn welche nachgeladen wurden) werden spezieller auf ein system eingehen und werden evtl. erst in wochen in virendefinitionen aufgenommen. Die Lücken die das virus nutzt sind teilweise einfachste defaultpasswoerter. Solange nicht geklärt ist woher der virus kam sind alle Komponenten verdächtig. Anstatt mit logs zu bestätigen das die infektion nicht ueber weg x erfolgte wird beleidigt darauf verwiesen das ja schonmal geschrieben wurde das alles sicher sei. Beide Seiten könnten etwas entspannter sein. Als Helpdesker hatte ich auch mal einen vervirten rechner der ausgeliefert werden sollte (prozess grande48 mit startproblemen). nachdem das festgestellt wurde wurde der rechner trotzdem ausgeliefert. da hab ich dann allen relevanten stellen mitgeteilt das ich das nicht gutheisse und weitere untersuchungen noetig seien, damit wars dann gut für mich. die emails aufbewahren, heimlich ins taschentuch weinen und gut, wenn das business meint sowas sei noetig: mir bringts arbeit..... Zitieren Link zu diesem Kommentar
Gulp 255 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 warum muss es immer in solche herzblut diskussionen ausarten. Richtig, dabei will ich doch nur begreiflich machen, dass, Sicherheitskonzept hin oder her, es verdammt gefährlich ist sich drauf zu verlassen, dass man den einen Virus nun erfolgreich entfernt hat und mögliche andere Infektionen übersieht. WSUS verteilt updates und die rechner sind auf neuestem stand, das täuscht auch der virus dem WSUS vor, das ist kein argument. traffic auf sicherheitsseiten wird geblockt (zum glück nit umgeleitet und gefaked). ob sch der virenscanner bestätigt aktualisiert hat sagt der post nicht. der Virus in der gegebenen Form macht nur Sinn als Türöffner für Botnetze, d.h. sobald er sich beim Virenproduzenten meldet geht die arbeit erst los, es werden weitere komponenten nachgeladen. für eine ncht zu bestimmende zeitspanne war der virus im system aktiv. ob und was er nachgeladen hat könnte z.b. der proxy oder die firewall wissen. Die Komponenten die nachgeladen wurden (wenn welche nachgeladen wurden) werden spezieller auf ein system eingehen und werden evtl. erst in wochen in virendefinitionen aufgenommen. Die Lücken die das virus nutzt sind teilweise einfachste defaultpasswoerter. Full ack! Solange nicht geklärt ist woher der virus kam sind alle Komponenten verdächtig. Anstatt mit logs zu bestätigen das die infektion nicht ueber weg x erfolgte wird beleidigt darauf verwiesen das ja schonmal geschrieben wurde das alles sicher sei. Absolut richtig, auch wenn das mächtig Arbeit bedeutet, niemand hat behauptet man könne immer den einfachen Weg nehmen. Beide Seiten könnten etwas entspannter sein. .. ich für meinen Teil bin völlig entspannt, die Zeiten wo ich mich in Foren aufrege sind vorbei. :cool: :D Grüsse Gulp Zitieren Link zu diesem Kommentar
hkmuc 10 Geschrieben 15. Januar 2009 Melden Teilen Geschrieben 15. Januar 2009 Hallo, ich habe genau die selben Symptome vorgefunden - keine dn-Auflösung im Browser oder beim Pingen - jedoch nslookup liefert gewünschte IP-Adresse - die Hosts-Dateien waren unverändert, nur der localhost war eingetragen - auch kein Erreichen div. Virenschutz-Anbieter Das roch förmlich nach VIRUS. Letztendlich habe ich über einen sauberen Rechner bei F-Prot ein Removal-Tool heruntergeladen und per Stick auf den Befallenen Rechner gebracht, und ausgeführt. Geheilt !!!!!! F-Secure Malware Information Pages: Worm:W32/Downadup.AL Achtung!!!! der Stick war danach auch mit dem Virus befallen. Wer sich sicher fühlt brennt sich eine CD. Der Virus: I-Worm/Generic, bei Microsoft con****er Name : Worm:W32/Downadup.AL Detection Names : Net-Worm.Win32.Kido Worm:W32/Downadup.AL Aliases : Worm:Win32/Con****er (Microsoft) W32/Con****er.worm.gen (Symantec) Mal/Con****er (Sophos) Type: Worm Category: Malware Platform: W32 Mehr Info unter o.g. Link. Hoffentlich klappts auch bei Dir (bitte gib Bescheid oder setzte den Thread auf beendet). LG hkmuc – Sorry aber bei Microsoft heißt der Virus so. Siehe F-PRot-Info im o.g Link. Die Sternchen kamen ganz automatisch, da kann ich doch nix für. LG hkmuc Zitieren Link zu diesem Kommentar
Gulp 255 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 Geheilt? Na ich weiss nicht, der Wurm lädt andere Schadsoftware herunter (eventuell auch bisher noch unbekannte), kannst Du sicher sein, dass jetzt wirkllich alles weg ist oder findet Dein Virenscanner nur nichts (wie anfänglich bei dem Wurm wohl auch?) ........... Das wäre mir zu heiss (hatte ich glaube ich schon mal in dem Fred erwähnt). Grüsse Gulp Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 17. Januar 2009 Melden Teilen Geschrieben 17. Januar 2009 Downadup virus exposes millions of PCs to hijack - CNN.com bisher hat er anscheinend nichts nachgeladen (obwohl er dies koennte) bleibt die Tatsache das jeder infizierte PC den Wurm weiterverteilt. allerdings, bei aller Liebe, ein Adminshare mit einem Passswort wie "asddsa" in einem Firmennetz, ich kanns irgendwie immer noch ned so recht glauben. Ich kann auch irgendwie nicht glauben das jemand sich soviel Arbeit für nichts macht. Er lädt nichts nach, hat anscheinend keine Botschaft und kontaktiert domains deren name sich vorausberechnen laesst, das ist so amateurhaft für die 3-4 DIN A4 Seiten Beschreibung was er so anstellt. Befällt Firmennetze und installiert einen Webserver auf einem Random port den vermutlich jede Firewall blockt, irgendwie fehlt da was. Und der Wurm ist seit Oktober bekannt aber wird 3 Monate spaeter auf kaum einem System erkannt Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.