[IT] - wieder ein neuer Parasit

[WarEagle]

Hi Leute,

 

irgendwie schaffen wir es in der Firma immer wieder vorn dabei zu sein, wenns um Viren & Würmer

(liegt sicher nur daran das ein Großteil unserer IT Outgesourced ist )

 

Soda nun zum Schädling (hat noch keinen Name, weil McAffe (NAI)& Co noch nix davon wußten) ...viel weiß ich auch no net drüber ... aber das bissl will ich euch mal mitteilen.

 

Den einzigen Schande den er bis jetzt verursacht hat, ist das er wild umsich Pingt&Broadcastet und sich im Netzwerk verbreitet... was die Netzwerk Performance in den Keller drückt. Und er Tritt trotz installiertem RPC-Patch auf.

 

er legt im Verzeichnis %windir%\system32\wins die datei dllhost.exe ab (auch eine svchost.exe, von der wissen wir allerdings noch nicht was sie macht).

Die beiden Dateien liegen auch als Standard-Windows-Dateien im SYSTEM32-Verzeichnis - also net verwechseln

 

Das "Ding" trägt sich dann als "WINS Client" - Service ein bzw. als "RpcPatch" .

Wenn ihr das Service stoppt, hört auch der Trafic auf (der übrigens recht zufällig bzw. clever verteilt Auftritt.)

 

da ich nix genaues weiß würd ich vorschlagen die Datei %windir%\system32\wins\dllhost.exe umzubenennen (zB. Delme.vir) und eine Text-Datei zu erstellen die dllhost.txt heißt, und die dann in dllhost.exe umbenennen.

 

Ich hoff es gibt bald ein Update für die Virenscanner, einstweilen hat das ganz gut gefruchtet....

[WarEagle]

ah, das Kind hat einen Namen

[Birki]

... wieso is mir des mitm 2.4.xxx kernel wurscht

 

lg

birki

[HAL9000]

Original geschrieben von Birki

... wieso is mir des mitm 2.4.xxx kernel wurscht ...

die linux-würmer werden schon noch kommen, keine sorge. auch

dort gibt es genug löcher... - nur noch nicht so viele, die danach

suchen...

 

ein zuversichtlicher

HAL9000

[Birki]

Original geschrieben von HAL9000

ein zuversichtlicher

HAL9000

hi!

teile deine zuversicht - aber auf der anderen seite gibt das dann hinreichend beschaeftigungstherapie fuer alte systemprogrammierer, oder

lg

birki

[WarEagle]

linux-kisten werden net "gewurmt" die werden gehackt ... des hat mehr Stil

[criz]

der Wurm scheint sich auch rasend zu verbreiten, hab in den letzten 2 Stunden mind. 20 infizierte mails erhalten...

[Christoph]

Original geschrieben von criz

der Wurm scheint sich auch rasend zu verbreiten, hab in den letzten 2 Stunden mind. 20 infizierte mails erhalten...

der hat vor kurzem dem Mailserver von unserer FH befallen gehabt. Da sind dann täglich 10 automatisch generierte infizierte Emails gekommen.

Und der fähige Sysadmin hat eine WOche gebraucht und das zu checken (aber immerhin, beim letzten Mal hat's fast 1,5 Monate gedauert ).

[Christoph]

Haha, die WU hat ihn sich scheinbar auch schon eingefangen

[WarEagle]

na i bin ja mal gespannt auf morgen Früh ... hehe .. naja eher

weil die Arbeit ham dann erst wieder wir

 

Warum müßen User auf PIF-Files klicken?

Warum können EDV-Dienstleister Mailserver & Firewalls net gscheit konfigurieren?

Warum bin i net Maurer worn?

[Bernd67]

Original geschrieben von WarEagle

Warum müßen User auf PIF-Files klicken?

Warum können EDV-Dienstleister Mailserver & Firewalls net

 

das tun sie vielleicht gar nicht, da ihr Internet Explärrer noch nicht gepatcht ist (fehlerhafte MIME Header führen zu sofortiger Ausführung.......usw.).

 

Ich hab mich aber auch schon mal "verklickt"

 

Bei Spams sind immer Mail-Relays (d.h. Rechner, die unfreiwillig dazu werden) im Spiel (warum wohl )

[WarEagle]

Original geschrieben von Bernd67

das tun sie vielleicht gar nicht, da ihr Internet Explärrer noch nicht gepatcht ist

 

schon klar, schon klar ... das sich würmer auch ander verbreiten, nur wenn der User meint "du i hab da a mail geöffnet" oder du die PIF-Datei im (Mail)Temp-Verz. findest is wohl klar was passiert is ... was mi nur stuzig macht, das des Softwareentwickler sind

[Birki]

Original geschrieben von WarEagle

Warum müßen User auf PIF-Files klicken?

Warum können EDV-Dienstleister Mailserver & Firewalls net gscheit konfigurieren?

Warum bin i net Maurer worn?

... wieso muessen programmierer APIs einbauen, die so offen wie ein zerbrochener haeusldeckel sind?

... weil die meisten dort vollkoffer sind ?!

... letzteres habe ich mich schon oefter gefragt - aber nach drei wochen wohnungsrenovieren geh i eh wieder gern in die hackn ...

lg

birki

[SirDogder]

Der Wurm tobt si aus. Auch im Hotmail hab ich grad 20 Mails glöscht. De dürfatn gar nicht einekommen, aber der Operator schlaft wohl. Oder gibts noch keine Antiviren?

[NoWin]

Bei mir arbeitet der NAV auch laufend, aber sollns nur kommen die Würmer, ich bereite mich gerade aufs Nachtfischen vor

[SirDogder]

Original geschrieben von NoWin

Nacktfischen vor

 

????

 

[WarEagle]

Original geschrieben von NoWin

Nacktfischen

 

 

?

i glaub du meinst da einen andern Wurm

[NoWin]

Leitln, wos hobts ihr fürn Monitor - und dann noch meine Posts beim Zititeren verändern :s: :s:

[SirDogder]

Verändern, wer???

 

(unschuldig dreinschau)

 

[WarEagle]

*ToteFliegeWegwisch* ... ahhh NacHtfischen

[woodpecker]

Da hilft einfach nur eines (wie zb. bei uns in der Firma im Einsatz)-

man schalte einfach zw. der Firewall und dem Mailserver einen Mailscanner welcher 1. alle Mailattachments auf viren prüft und 2.

jeglichen "verwerflichen" und gefährlichen Code gar nicht erst durchlässt.

 

leider schreien die user dann weil sie ihre geliebten screensaver etc nimmer vermailen können.

aber wurscht - helfen tuts - wir hatten seit dem loveletter (da hatten wir noch nichts) keine einzige infektion mehr.

und das will ja was heissen

 

wobei ich gerne zugebe dass wir auch nicht M$ Exchange / Outlook verwenden sondern Lotus Domino / Notes

 

greets

Roli

[WarEagle]

sowas in der Art haben wir ... bertreut aber unser Exterener EDV-Dienstleister ... leider scheint das Groupshield aber nur dann dann aktuell zu sein, wenn "killer-vieren" im Anmarsch sind ... den Sobig.f hats brav abgehalten wie ich heut bemerken mußte.

Das Prob is da eher die Firewall ... aber über etwas zu schimpfen was man nicht selber Administriert, is immer leicht

[Wolferl]

Der Sobig-F hat uns kalt erwischt, trotz Notes Umgebung. Symantec war leider erst einen Tag später in der Lage das Update einzuspielen und einige DAU's haben halt die Pif Datei geöffnet. Somit waren ein paar Tausend Rechner kurzfristig hinüber und das Netz ausgebremst. Noch dazu sind unsere Rechner so konfiguriert, daß sie sich beim Massenversand von Mails selber abdrehen, das hat vor weiterer Verbreitung sicher geholfen. Mit einem selbstgeschriebenen Programm wurde der lästige Parasit aber dann doch aus dem Netz befördert.. Bei allen Leuten die im Urlaub sind, haben wir über Netz die betroffenen Mails rausgepickt und gekübelt. Der Aufwand war sagenhaft, da wir zu Beginn nicht sicher waren, ob Rechner nicht doch weitermachen und die Abschaltsequenz umgangen wird. Sch****Woche. :k: