hab jetzt schon mehr mit dem MyDoom zu tun gehabt, aber hier weiß ich leider nicht mehr weiter.
Ein Kunde hatte jede Menge MyDoom's und sonstiges im Netz. Endlich ein Virenscanner und er findet und entfernt auch wunderbar. Auf dem Mailserver (NT 4.0 Server + Exchange 5.5) tümmelt sich der ohne Ende.
Halte ich sämtliche Dienste an und lass den Virenscanner rüberrappeln ist zunächst alles in Ordnung. Dann starte ich die Dienste wieder und es geht los. Ca. 100 MyDoom's am Tag. Nach einiger Zeit ist der Server so träge, dass ich die Dienste wieder anhalten muss, den Virenscanner laufen lassen muss und dann den Server wieder neu starte, damit der wieder geht.
So doof ist die Frage gar nicht. Nun, eine Mailwall ist da nicht drauf. Muss ich ir jetzt sagen, wieso???
Jedenfalls, Mailwall hin oder her. Es kann doch auch so nicht sein, dass merkwürdigerweise immer auf'm Mailserver der Mydoom ist. Es sind nämlich nicht eingehende Mail, die den haben, sondern repliziert er sich permanent im Temp Verzeichnis neu. Der Virenscanner erkennt ihn zwar dort und macht ihn auch platt. Aber durch diesen Sturm macht er das Ding so träge!!!!!! Es kommt also nicht von außen, sondern muss schon irgendwas im inneren sein
ich hatte auch mal eine solche Odyssee mit einem SOBER (wenn mich nicht alles täuscht). Die Removaltools entfernten und entfernten... über drei Tage lang, bis ich schliesslich die Systeme per Hand überprüft habe:
Du solltest einmal in der Registry die Zweige
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
nach verdächtigen Einträgen durchsuchen. Was da im Falle von MyDOOM steht findest Du bei google oder Symantec.
Und der Tipp von dg67 ist ein guter Ansatz, um die Quelle zu lokalisieren. Kann gut sein dass MyDOOM über das lokale Netzwerk oder Netzwerkfreigaben kommt.
Wie das allerdings mit der von Dir vermuteten Replizierung ist - keine Ahnung.
Heutige Viren bringen i.d.R. ihre eigene SMTP-Engine mit, von daher gehen sie nicht mehr über den Exchange. Daran kann's also nicht liegen - muss aber von Virus zu Virus geprüft werden.
Das die Clients gegen den Server schießen kann ich mir jetzt eher weniger vorstellen. Nachdem ja mein lieber Kunde endlich eingesehen hatte, dass es ohne Virenscanner nicht geht, hab ich mich dran gesetzt und nen Client/Server Virenscanner zu installieren. Hab damit das gesamte Netz (auch die Clients) gecheckt. Ein paar hatten Viren, die auch beseitigt wurden. Waren einfach ein paar Würmer und Macros. Die sind platt.
Cheffes Client und der Mailserver sind vom MyDoom betroffen. Da Cheffes Rechner eigentlich nur noch aus Viren bestand, hat der mal ne Neuinstallation gekriegt.
Ich gehe daher schwer davon aus, dass die Clients und anderen Server sauber sind. Hab übrigens dort alle möglichen Tools (Stinger und Konsorten) rüberrappeln lassen. Das ist nix mehr.
Einzig mein lieber Mailserver. Es kommt mir dort bald so vor, als wäre da ne ganz normale Datei druff, die erst scharf wird, wenn die EX-Dienste gestartet werden und diese Datei schiebt dann den MyDoom ins Temp.
Was ganz interessant ist, die infizierten Dateien sind dann produzierte XLS im Temp. So kann ich die gar nicht löschen, weil se angeblich im Zugriff sind. Macht das der Virenscanner, sind diese Dateien wech. Kommt dann wieder ein Angriff, füllt es mir das Temp Verzeichnis. Anfangs hab ich den Scanner so eingestellt, dass er nur den Dateizugriff sperrt, dann dass er infizierte Dateien in einen Quarantäne Ordner verschiebt. Nur diese Einstellungen haben mir ratz fatz die Platte voll gemacht.
Mittlerweile steht der Scanner auf Dateien platt machen.
MyDoom auf Exchange 5.5. Immer und immer wieder
