wie finde ich Blaster Virus in meinem Netz

[Milla 10]

Hallo zusammen,

 

wir haben ein Netz mit ca. 1000 Clients.

 

Ab und an kommt ein User mit einem ungepatchen Laptop und der ist dann binnen kürzester Zeit mit einem Blaster irus infiziert!!

 

d.h. wir haben irgendwo im Netz einen Blaster schlummern und keiner weiss wo !!

 

Wie finde ich diesen ??

[gr@mlin 10]

hi,

 

könnt ihr mit eurer antivirenlösung keine geplanten scans (uhrzeit) einstellen? zumindest bei einem echtzeit-scan sollte der virus irgendwann auftauchen.

ansonsten kann ich dir nur empfehlen, alle rechner mit den speziellen blaster-scan-engines zu checken.

aber mit einer vernünftigen antivirenlösung sollte von einem virösen system im netzwerk eigentlich keine echte gefahr ausgehen. dieser sollte ja spätestens beim übergreifen auf andere pcs erkannt und dementsprechend behandelt werden.

 

gruss, gr@mlin

[zuschauer 10]

Hi !

McAfee bietet dazu einen speziellen Sniffer an, der den Sender lokalisieren können soll: http://download.nai.com/products/mcafee-avert/RPC71703.zip

 

(Sorry, ist der direkte DonloadLink, auf die Schnelle hab ich die Startseite dazu nicht gefunden).

[Lian 2.421]

Das ist ein mal ein schicker Ansatz.

 

Der download führt zu einem NAI Sniffer Filter, den NAI Sniffer muss man schon haben dazu.

Kostet übrigens mal richtig Kohle das Ding, saugut aber auch sauteuer.

[GerhardG 10]

blaster/sasser versuchen sich über bestimmte ports zu verbreiten. insbesondere wenn es mehrere verseuchte clients gibt, steigt der "traffic" auf diesen ports. es ist also relativ einfach die verseuchten clients per firewall zu finden, ich mach dazu auf einer iptables box einfach "tail -f firewall-log | grep sasserport" und warte.

[zuschauer 10]

Hier geht´s weiter: http://www.mcseboard.de/showthread.php?s=&postid=233399#post233399