Zum Inhalt wechseln


Foto

Microsoft Web Seite nicht erreichbar


  • Bitte melde dich an um zu Antworten
51 Antworten in diesem Thema

#46 Alveran

Alveran

    Newbie

  • 20 Beiträge

 

Geschrieben 09. Januar 2009 - 13:47

Hallo,
zur aufklärung. Es sind zwei verschiedene Systeme von ein und dem selben Virus betroffen. Und mittlerweile so wie gehört habe hat es noch andere erwischt.
Und nochmal zum Thema Sicherheit. Wir verwenden WSUS. Unsere Systeme sind nachweißlich auf neuestem Stand und der GDATA Virenscanner holt sich stündlich seine Updates.
Es handelt sich bei dem Virus um eine neue Version die von allen Antivieren Scanner auser F-Secure nicht erkannt wird und auch selbst mit dem F-Secure Scanner nicht gelöscht werden kann.
(seit 6.Januar2009bekannt)
Ich hoffe ich habe mich verständlich ausgedrückt.

Trotzdem Besten Dank an euch für die Angboten links.

Der Patch für XP den du mir gelinkt hast war bei uns schon eigespielt. Daran lags also nicht.
Gibts da noch andere Patches. Was ist mit den Vista maschienen? Dafür gibts nix soweit ich sehen kann.

mfg

Alveran

#47 Gulp

Gulp

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 09. Januar 2009 - 14:52

Hallo,
zur aufklärung. Es sind zwei verschiedene Systeme von ein und dem selben Virus betroffen. Und mittlerweile so wie gehört habe hat es noch andere erwischt.
Und nochmal zum Thema Sicherheit. Wir verwenden WSUS. Unsere Systeme sind nachweißlich auf neuestem Stand und der GDATA Virenscanner holt sich stündlich seine Updates.
Es handelt sich bei dem Virus um eine neue Version die von allen Antivieren Scanner auser F-Secure nicht erkannt wird und auch selbst mit dem F-Secure Scanner nicht gelöscht werden kann.
(seit 6.Januar2009bekannt)
Ich hoffe ich habe mich verständlich ausgedrückt.

Trotzdem Besten Dank an euch für die Angboten links.

Der Patch für XP den du mir gelinkt hast war bei uns schon eigespielt. Daran lags also nicht.
Gibts da noch andere Patches. Was ist mit den Vista maschienen? Dafür gibts nix soweit ich sehen kann.

mfg

Alveran



Ist Lesen wirklich Glückssache? Oder die Tabelle mit den Links zu den einzelnen Systemen aus Microsoft Security Bulletin MS08-067 – Critical irgendwie unverständlich, ich finde da nun ganz deutlich einen Downloadlink für Vista und Vista SP1. :suspect:

Hätte man sich mal mit dem Virus und seinen Varianten (zB B) vertraut gemacht so wäre einem aufgefallen, dass:

.... It also attempts to spread to network shares protected by weak passwords and blocks access to security-related Web sites. ......

Quelle (vom 31.12.2008 im übrigen): MS08-067 : W32.Downadup.B

oder

It can use several different methods to spread, including using the recently patched vulnerability in Windows Server Service, guessing network passwords and infecting USB sticks. As an end result, once the malware gains access to the inside of a corporate network, it can be unusually hard to eradicate fully.

Quelle: Corporate networks warned over outbreak of Downadup worm

Genau dies beschrieb ich schon in Post 32

Zudem kann der Wurm auch von gepachten Workstations mit Internetkontakt auf die Server per RPC gelangt sein, er hat unter anderem eine BrutForce Passwordliste an Bord um sich über die Administrativen Freigaben zu verbreiten.


Im Klartext, der Wurm kann sich nicht nur über ungepatchte, sondern zB bei Verwendung von unsicheren oder einfach erratbaren Passwörtern über ganz normale Netzwerkfreigaben oder die Administrativen Freigaben verbreiten, auch bei System die den Patch bereits installiert haben.

Sprich, hier gilt es eine sicheres Gesamtpaket unter anderem aus 1) Patchstand der Systeme, 2) aktueller Virenscanner, 3) gesicherter Internetzugang und 4) gesicherten Datenträgern (zB USB Drives) wohlgemerkt gleichzeitig implementiert zu haben.

Sorry, aber alles andere ist die bereits angesprochene Betriebsblindheit und kalter Kaffee.

Mal ganz provokant formuliert (und damit will ich Dir keinesfalls ans Bein treten, mir wäre lieber wir würden das hier nur theoretisch diskutieren), warum hat es denn mein Netz nicht erwischt? Glück? Oder vielleicht doch eher ein adäquates Sicherheitskonzept?

Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!

#48 Jim di Griz

Jim di Griz

    Board Veteran

  • 832 Beiträge

 

Geschrieben 09. Januar 2009 - 15:29

warum muss es immer in solche herzblut diskussionen ausarten.

WSUS verteilt updates und die rechner sind auf neuestem stand, das täuscht auch der virus dem WSUS vor, das ist kein argument.
traffic auf sicherheitsseiten wird geblockt (zum glück nit umgeleitet und gefaked). ob sch der virenscanner bestätigt aktualisiert hat sagt der post nicht.
der Virus in der gegebenen Form macht nur Sinn als Türöffner für Botnetze,
d.h. sobald er sich beim Virenproduzenten meldet geht die arbeit erst los, es werden weitere komponenten nachgeladen.

für eine ncht zu bestimmende zeitspanne war der virus im system aktiv.
ob und was er nachgeladen hat könnte z.b. der proxy oder die firewall wissen.
Die Komponenten die nachgeladen wurden (wenn welche nachgeladen wurden) werden spezieller auf ein system eingehen und werden evtl. erst in wochen in virendefinitionen aufgenommen.

Die Lücken die das virus nutzt sind teilweise einfachste defaultpasswoerter.

Solange nicht geklärt ist woher der virus kam sind alle Komponenten verdächtig.
Anstatt mit logs zu bestätigen das die infektion nicht ueber weg x erfolgte wird beleidigt darauf verwiesen das ja schonmal geschrieben wurde das alles sicher sei.

Beide Seiten könnten etwas entspannter sein.

Als Helpdesker hatte ich auch mal einen vervirten rechner der ausgeliefert werden sollte (prozess grande48 mit startproblemen). nachdem das festgestellt wurde wurde der rechner trotzdem ausgeliefert. da hab ich dann allen relevanten stellen mitgeteilt das ich das nicht gutheisse und weitere untersuchungen noetig seien, damit wars dann gut für mich. die emails aufbewahren, heimlich ins taschentuch weinen und gut, wenn das business meint sowas sei noetig: mir bringts arbeit.....

#49 Gulp

Gulp

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 09. Januar 2009 - 16:10

warum muss es immer in solche herzblut diskussionen ausarten.


Richtig, dabei will ich doch nur begreiflich machen, dass, Sicherheitskonzept hin oder her, es verdammt gefährlich ist sich drauf zu verlassen, dass man den einen Virus nun erfolgreich entfernt hat und mögliche andere Infektionen übersieht.

WSUS verteilt updates und die rechner sind auf neuestem stand, das täuscht auch der virus dem WSUS vor, das ist kein argument.
traffic auf sicherheitsseiten wird geblockt (zum glück nit umgeleitet und gefaked). ob sch der virenscanner bestätigt aktualisiert hat sagt der post nicht.
der Virus in der gegebenen Form macht nur Sinn als Türöffner für Botnetze,
d.h. sobald er sich beim Virenproduzenten meldet geht die arbeit erst los, es werden weitere komponenten nachgeladen.

für eine ncht zu bestimmende zeitspanne war der virus im system aktiv.
ob und was er nachgeladen hat könnte z.b. der proxy oder die firewall wissen.
Die Komponenten die nachgeladen wurden (wenn welche nachgeladen wurden) werden spezieller auf ein system eingehen und werden evtl. erst in wochen in virendefinitionen aufgenommen.

Die Lücken die das virus nutzt sind teilweise einfachste defaultpasswoerter.


Full ack!

Solange nicht geklärt ist woher der virus kam sind alle Komponenten verdächtig.
Anstatt mit logs zu bestätigen das die infektion nicht ueber weg x erfolgte wird beleidigt darauf verwiesen das ja schonmal geschrieben wurde das alles sicher sei.


Absolut richtig, auch wenn das mächtig Arbeit bedeutet, niemand hat behauptet man könne immer den einfachen Weg nehmen.

Beide Seiten könnten etwas entspannter sein.


.. ich für meinen Teil bin völlig entspannt, die Zeiten wo ich mich in Foren aufrege sind vorbei. :cool: :D

Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!

#50 hkmuc

hkmuc

    Newbie

  • 3 Beiträge

 

Geschrieben 15. Januar 2009 - 22:10

Hallo,

ich habe genau die selben Symptome vorgefunden
- keine dn-Auflösung im Browser oder beim Pingen
- jedoch nslookup liefert gewünschte IP-Adresse
- die Hosts-Dateien waren unverändert, nur der localhost war eingetragen
- auch kein Erreichen div. Virenschutz-Anbieter

Das roch förmlich nach VIRUS.

Letztendlich habe ich über einen sauberen Rechner bei F-Prot ein Removal-Tool heruntergeladen und per Stick auf den Befallenen Rechner gebracht, und ausgeführt. Geheilt !!!!!!

F-Secure Malware Information Pages: Worm:W32/Downadup.AL

Achtung!!!! der Stick war danach auch mit dem Virus befallen. Wer sich sicher fühlt brennt sich eine CD.

Der Virus: I-Worm/Generic, bei Microsoft con****er


Name : Worm:W32/Downadup.AL
Detection Names : Net-Worm.Win32.Kido
Worm:W32/Downadup.AL

Aliases : Worm:Win32/Con****er (Microsoft)
W32/Con****er.worm.gen (Symantec)
Mal/Con****er (Sophos)

Type: Worm
Category: Malware
Platform: W32


Mehr Info unter o.g. Link.

Hoffentlich klappts auch bei Dir (bitte gib Bescheid oder setzte den Thread auf beendet).

LG hkmuc

Sorry

aber bei Microsoft heißt der Virus so. Siehe F-PRot-Info im o.g Link.
Die Sternchen kamen ganz automatisch, da kann ich doch nix für.

LG hkmuc

#51 Gulp

Gulp

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 16. Januar 2009 - 08:06

Geheilt? Na ich weiss nicht, der Wurm lädt andere Schadsoftware herunter (eventuell auch bisher noch unbekannte), kannst Du sicher sein, dass jetzt wirkllich alles weg ist oder findet Dein Virenscanner nur nichts (wie anfänglich bei dem Wurm wohl auch?) ...........

Das wäre mir zu heiss (hatte ich glaube ich schon mal in dem Fred erwähnt).

Grüsse

Gulp
Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!

#52 Jim di Griz

Jim di Griz

    Board Veteran

  • 832 Beiträge

 

Geschrieben 17. Januar 2009 - 02:36

Downadup virus exposes millions of PCs to hijack - CNN.com

bisher hat er anscheinend nichts nachgeladen (obwohl er dies koennte)
bleibt die Tatsache das jeder infizierte PC den Wurm weiterverteilt.

allerdings, bei aller Liebe, ein Adminshare mit einem Passswort wie "asddsa" in einem Firmennetz, ich kanns irgendwie immer noch ned so recht glauben.
Ich kann auch irgendwie nicht glauben das jemand sich soviel Arbeit für nichts macht. Er lädt nichts nach, hat anscheinend keine Botschaft und kontaktiert domains deren name sich vorausberechnen laesst, das ist so amateurhaft für die 3-4 DIN A4 Seiten Beschreibung was er so anstellt.
Befällt Firmennetze und installiert einen Webserver auf einem Random port den vermutlich jede Firewall blockt, irgendwie fehlt da was.
Und der Wurm ist seit Oktober bekannt aber wird 3 Monate spaeter auf kaum einem System erkannt